_Sundor-A

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: Inconnue

Détails techniques:

Le ver affiche une image d'un alien (voir capture d'écran) avec le texte suivant :

I'm the alien
Have a happy week
I liked your computer


Le ver supprime aussi des programmes et des documents, change des paramètres système et désactive certains logiciels de sécurité.

Sundor-A supprime des fichiers EXE des dossier suivants :

C:\
C:\WINDOWS\
C:\WINDOWS\SYSTEM\
C:\WINDOWS\SYSTEM32\
C:\WINDOWS\COMMAND\


et supprime des fichiers COM des dossier suivants :

C:\WINDOWS\COMMAND\
C:\WINDOWS\
C:\


Si nous sommes le 6, le 16 ou le 26 du mois, le ver supprime aussi tous les fichiers des dossiers suivants :

C:\Program Files\
C:\My Documents\
C:\My Shared Folder\


Lorsque le document ver est fermé, il affiche le message :

Your computer has problems!

Le ver copie alors son code dans le modèle normal Word et copie le document infecté dans les fichiers suivants :

C:\Poems\Romance.doc
C:\Windows\Tecno\News.doc
C:\Windows\Visual\Modern.doc
C:\Windows\Study\Books.doc
C:\Windows\Joke\Funny.doc
C:\Windows\Download\Program.doc
C:\Windows\Birthday\Dates.doc
C:\Windows\Texts\Exemple.doc


Sundor-A tente aussi de cacher les icônes du bureau, de paramétrer le temps système sur 10 heures du matin, de changer le nom de l'ordinateur, de désactiver les fonctionnalités du Windows Security Center, de réduire la sécurité du navigateur Internet et de réduire la sécurité des macros Office 2000 en paramétrant les entrées suivantes du registre :

HKCU\Software\Microsoft\Office\9.0\Word\Security
Level
1

HKLM\SOFTWARE\Microsoft\Security Center
UpdatesDisableNotify
0xd001

HKLM\SOFTWARE\Microsoft\Security Center
AntiVirusOverride
0xd001

HKLM\SOFTWARE\Microsoft\Security Center
FirewallOverride
Oxd001

HKLM\SOFTWARE\Microsoft\Security Center
FirewallDisableNotify
Oxd001

HKLM\SOFTWARE\Microsoft\Security Center
AntiVirusDisableNotify
Oxd001

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update
NOptions
0x031

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
NoControlPanel
0x031

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0
1201
0

HKLM\SYSTEM\CurrentControlSet\Control\ComputerName\ComputerName
ComputerName
XFL45-Evolution


Le ver paramètre par ailleurs l'entrée suivante du registre :

HKLM\SOFTWARE\Microsoft\Roner
Dronus
Activated virus


Capture(s) d'écran:

Sundor-A



http://www.lesdepeches.com/