Worm.Win32_Xipi-A

Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 66048 Octet(s)

Détails techniques:

Une fois exécuté, Xipi-A dépose une copie du ver dans le dossier %System% sous le nom jxef1104.exe.

Il crée un fichier ZIP, dans le répertoire où il a été exécuté, sous le même nom que le nom de fichier du ver. Le fichier ZIP contient un dossier dont le nom est les 3 dernières lettres du répertoire où le ver a été exécuté. Par exemple, si le ver a été exécuté dans le répertoire Bureau, le nom du dossier à l'intérieur du ZIP sera eau. Ce répertoire contient une copie du ver.

Xipi-A dépose aussi 3 autres fichiers dans %System% :

xrf_dbx.xrf
xrf_htm.xrf
xrf_wab.xrf - Ce fichier contient les adresses e-mails collectées sur le carnet d'adresses.

Afin d'être lancé à chaque démarrage de Windows, Xipi-A crée l'entrée de registre suivante :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
jxef1104= "%System%\jxef1104.exe"

N.B. : Xipi-A détermine l'emplacement du répertoire %System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de C:\Windows\System et sous XP : C:\Windows\System32.


Xipi-A essaie de se propager, en déposant une copie du ver dans les dossiers partagés, par défaut, des applications de peer-to-peer. C'est ainsi qu'il dépose cette copie dans les répertoires suivants :

C:\Program Files\Bearshare\Shared\
C:\Program Files\eDonkey2000\Incoming\
C:\Program Files\eMule\Incoming\
C:\Program Files\Grokster\My Grokster\
C:\Program Files\ICQ\Shared Folder\
C:\Program Files\Kazaa Lite\My Shared Folder\
C:\Program Files\Kazaa\My Shared Folder\
C:\Program Files\LimeWire\Shared\
C:\Program Files\Morpheus\My Shared Folder\
C:\Program Files\Overnet\Incoming\
C:\Program Files\Tesla\Files\
C:\Program Files\TorrenTopia\Downloads\
C:\Program Files\WinMX\Shared\
C:\Archivos de programa\Bearshare\Shared\
C:\Archivos de programa\eDonkey2000\Incoming\
C:\Archivos de programa\eMule\Incoming\
C:\Archivos de programa\Grokster\My Grokster\
C:\Archivos de programa\ICQ\Shared Folder\
C:\Archivos de programa\Kazaa Lite\My Shared Folder\
C:\Archivos de programa\Kazaa\My Shared Folder\
C:\Archivos de programa\LimeWire\Shared\
C:\Archivos de programa\Morpheus\My Shared Folder\
C:\Archivos de programa\Overnet\Incoming\
C:\Archivos de programa\Tesla\Files\
C:\Archivos de programa\TorrenTopia\Downloads\
C:\Archivos de programa\WinMX\Shared\

La copie du ver déposée peut avoir les noms suivants :

Pr0zAk].jpg .exe
[sick].jpg .exe
_isaac_.jpg .exe
_kRaKeR_.jpg .exe
10_big_images_Jenna_Jameson.jpg .exe
10_imagenes_de_Harry_Potter.jpg .exe
5_fotos_de_BISBAL_2003.jpg .exe
Aida_Gran_Hermano_la_foto_censurada.jpg .exe
ASzY.jpg .exe
BELLEZA.jpg .exe
bi0s.jpg .exe
Bradd_Pitt_nude.jpg .exe
Britney_Spears.jpg .exe
ByTracK.jpg .exe
caja_negra_avion_11S.jpg .exe
Cannabis.jpg .exe
captura_primer_plan_Ibarretxe.jpg .exe
caratula_Buleria_David_Bisbal.jpg .exe
cintas_del_11M.jpg .exe
CITA2.jpg .exe
CLAVE.jpg .exe
CONFESION.jpg .exe
Cristina_Aguilera_nude!.jpg .exe
CUERPO.jpg .exe
Depeche_Mode_caratulas.jpg .exe
DESEOS.jpg .exe
documentos_ineditos_11S.jpg .exe
documentos_privados_23F.jpg .exe
DOOM3_cracked .exe
EnciclopediaEncarta2005Deluxe .exe
eSn_mTn.jpg .exe
eXeem_evaluation_version_beta .exe
FEOS.jpg .exe
formula_de_la_polvora.zip .exe
fotos_Bisbal_playa_2004.jpg .exe
FREEDOM.jpg .exe
FreiHeit.jpg .exe
FreSnor.jpg .exe
GomeZ.jpg .exe
GoN_.jpg .exe
Gon_.jpg .exe
GORDA.jpg .exe
GriYo.jpg .exe
HardPorn.mpg .exe
HOMBRE.jpg .exe
HUMANO.jpg .exe
Ibarretxe_a_microfono_cerrado.jpg .exe
imagenes_ineditas_golpe_estado_23F.jpg .exe
INFIEL.jpg .exe
iS0tope.jpg .exe
JOVEN.jpg .exe
Julia_Otero_tanga.jpg .exe
khanete.jpg .exe
krabe_.jpg .exe
la_verdadera_cara_de_Lokutus_(imagenes_y_emails).jpg .exe
la_verdadera_cara_de_Nennito_(imagenes_y_emails).jpg .exe
la_verdadera_cara_de_NetSAVAGE_(imagenes_y_emails).jpg .exe
la_verdadera_cara_de_TeToniK_(imagenes_y_emails).jpg .exe
la_verdadera_jeta_de_Garrafon_(imagenes_y_emails).jpg .exe
la_verdadera_jeta_de_GriYo_(imagenes_y_emails).jpg .exe
la_verdadera_jeta_de_GuYRuleZ_(imagenes_y_emails).jpg .exe
las_fotos_de_Irak_(ineditas!!!).jpg .exe
las_fotos_de_Tella_y_milon_dandose_el_lote_(montaje_PhotoShop).jpg .exe
las_mejores_imagenes_de_Rocio_Madrid.jpg .exe
LISTArc.jpg .exe
lo_mas_duro_del_porno_casero.jpg .exe
MeTaLGoD.jpg .exe
mis_fotos.jpg .exe
MONSTRUO.jpg .exe
MUJER.jpg .exe
MUSIC.jpg .exe
n8fall.jpg .exe
Nacho_Vidal_por_la_puerta_trasera.mpg .exe
NiGtHmArE.jpg .exe
no_compartir_mi_novia_en_pelotas.mpg. .exe
OuterMind.jpg .exe
OVERNET_eDonKey_cracked .exe
Pamela_Anderson_antes_y_despues.jpg .exe
PASION.jpg .exe
Paulina_Rubio_trasero.jpg .exe
PHOTOSHOP8.1(Spanishversion)(plug-inextras) .exe
PHOTOSHOPCS2005(spanish) .exe
pocholo_en_pelotas_saliendo_del_rio.jpg .exe
Pr0zAk.jpg .exe
Radar.jpg .exe
ReeD_.jpg .exe
Rita_Faltoyano_nude_trasero.jpg .exe
rmd160.jpg .exe
Rojie.jpg .exe
s_CAP3.jpg .exe
Sarda_despotrica_contra_Rocio_Madrid.jpg .exe
SECRETO.jpg .exe
Sex.mpeg .exe
ShAdOwS_T.jpg .exe
Slow.jpg .exe
SOFIA_NIETO_PACK_mejores_fotos.jpg .exe
SourViVor.tiff .exe
The6Guest.jpg .exe
The7Guest.jpg .exe
The8Guest.jpg .exe
The9Guest.jpg .exe
TheWizard.jpg .exe
Tom_Cruise_vestuario_El_Ultimo_Samurai.jpg .exe
Tux.jpg .exe
V|RuZ.jpg .exe
VeNt0r.jpg .exe
VideoX_con_fotos_nenazas.mpg .exe
ViR[-_-].jpg .exe
Virico.jpg .exe
Voider.jpg .exe
W666_.jpg .exe
Wintermute.jpg .exe
Xezaw.jpg .exe
XXX_.jpg .exe
YO.jpg .exe
Zert.jpg .exe
ZIP_extractor_las_fotos_de_Patricia_Gaztanaga.jpg .exe


Xipi-A se répand également en envoyant une copie du ver par e-mail et en utilisant son propre moteur SMTP. Il s'envoie à tous les contacts présents dans le carnet d'adresses d'Outlook (voir capture d'écran).


Xipi-A injecte son code dans explorer.exe, activant ainsi son lancement avec l'explorateur de Windows. Son exécution est donc invisible dans le "Gestionnaire de tâches".

Capture(s) d'écran: