Cette section destinée aux experts, expose les détails techniques de ce virus.Taille: Inconnue
Détails techniques: A son exécution, Wren-A se copie sous le nom "
%Temp%\{nom_du_fichier}
.exe" et modifie le registre afin d'être lancé à chaque démarrage de Windows :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Stop-Sign_Install_Recovery = "%Temp%\{nom_du_fichier}
.exe -k"
En général, le nom du fichier est {i]wren.exe.
N.B. : Le cheval de Troie détermine l'emplacement du dossier
%Temp% de l'utilisateur en fonction du système d'exploitation. Généralement
C:\Documents and Settings\{nom_d'utilisateur}
\Local Settings\Temp ou
C:\WINDOWS\TEMP.
L'entrée de registre ci-dessus est supprimée si le cheval de Troie réussi le téléchargement qu'il doit effectuer (voir plus bas). Si il ne parvient pas à télécharger correctement le fichier, il affiche un message au prochain démarrage de Windows (voir capture d'écran).
Si l'utilisateur clique sur "
Yes", Wren-A téléchargera un fichier non désiré sur le domaine "
veloz.com". Il le télécharge sous le nom "
%Temp%\eaccel_setup.exe" et l'exécute. Pendant le téléchargement, Wren-A affiche une boîte de dialogue (voir capture d'écran).
Le cheval de Troie crée plusieurs entrées de registre pour sa propre exécution :
HKLM\Software\Acceleration Software International Corporation\eanthology\firstprod = "stopsign"
HKLM\Software\eAnthology\VenID = "eac-nock"
HKCR\MSEaid.GD\GLSID
Wren-A utilise une icône de panneau "Stop" (voir capture d'écran).
Capture(s) d'écran: