Worm.Win32_Bratle-B

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 18944 Octet(s)

Détails techniques:

Quand il est exécuté, Bratle-B crée un mutex nommé "W32.Breatle.B.Worm fucked ya bitch" pour empêcher l'exécution simultanée de plusieurs versions du ver sur la machine infectée.

Puis il se copie sous le nom %System%\wuuaclt.exe. Il met ce fichier en tant que "Fichier caché".

Afin d'être lancé à chaque démarrage de Windows, le ver ajoute l'entrée de registre suivante :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"Windows32" = "%System%\wuuaclt.exe"


N.B. : Bratle-B détermine l'emplacement du répertoire %System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de C:\Windows\System et sous XP : C:\Windows\System32.

Bratle-B ouvre un serveur FTP sur le port 4123 de la machine infectée.

Puis il supprime la valeur de registre "winshost.exe" des clés suivantes :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run


Bratle-B tente de se répandre sur d'autres machines connectées sur un réseau local ou sur Internet à l'aide d'une vulnérabilité de Windows. Pour plus d'informations sur celle-ci, veuillez consulter le Microsoft Security Bulletin MS04-011.

Bratle-B crée le fichier breatleB.txt sur les ordinateurs étant concernés par cette faille Windows. Ce fichier contient un script servant à télécharger une copie du ver.




http://www.generation-nt.com/