Worm.Win32_Reaplug-A

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 14848 Octet(s)

Détails techniques:

Reaplug-A est déposé par le ver Reatle-F.

Quand il est exécuté, Reaplug-A crée le mutex nommé "PNP-_-WORM" pour empêcher l'exécution simultanée de plusieurs versions du VER/VIRUS/TROJAN sur la machine infectée.

Reaplug-A se copie dans le dossier %System% sous le nom wuaaclt.exe et modifie la base de registre afin d'être lancé à chaque démarrage :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\PNP="wuaaclt.exe"

N.B. : Reaplug-A détermine l'emplacement du répertoire %System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de C:\Windows\System et sous XP : C:\Windows\System32.

Pour se propager, le ver utilise une faille de Windows concernant le service "Windows Plug and Play".
Sur chaque système que le ver aura exploité, il tentera de télécharger le fichier xwuaaclt.exe.
Pour plus d'informations sur cette vulnérabilite, veuillez consulter le Microsoft Security Bulletin MS05-039.

Le ver supprime également la valeur erthgdr2 des entrées de registre suivantes :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run


Cette valeur correspond aux vers de la famille Bagle.




http://www.zebulon.fr/