Troj_Wren-A

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: Inconnue

Détails techniques:

A son exécution, Wren-A se copie sous le nom "%Temp%\{nom_du_fichier}.exe" et modifie le registre afin d'être lancé à chaque démarrage de Windows :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Stop-Sign_Install_Recovery = "%Temp%\{nom_du_fichier}.exe -k"

En général, le nom du fichier est {i]wren.exe.

N.B. : Le cheval de Troie détermine l'emplacement du dossier %Temp% de l'utilisateur en fonction du système d'exploitation. Généralement C:\Documents and Settings\{nom_d'utilisateur}\Local Settings\Temp ou C:\WINDOWS\TEMP.

L'entrée de registre ci-dessus est supprimée si le cheval de Troie réussi le téléchargement qu'il doit effectuer (voir plus bas). Si il ne parvient pas à télécharger correctement le fichier, il affiche un message au prochain démarrage de Windows (voir capture d'écran).

Si l'utilisateur clique sur "Yes", Wren-A téléchargera un fichier non désiré sur le domaine "veloz.com". Il le télécharge sous le nom "%Temp%\eaccel_setup.exe" et l'exécute. Pendant le téléchargement, Wren-A affiche une boîte de dialogue (voir capture d'écran).

Le cheval de Troie crée plusieurs entrées de registre pour sa propre exécution :

HKLM\Software\Acceleration Software International Corporation\eanthology\firstprod = "stopsign"
HKLM\Software\eAnthology\VenID = "eac-nock"
HKCR\MSEaid.GD\GLSID



Wren-A utilise une icône de panneau "Stop" (voir capture d'écran).

Capture(s) d'écran:

Wren-A

Wren-A

Wren-A



http://www.hackers-news.com/