Worm.Win32_Reaplug-A
Description
Détails
Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.
Taille: 14848 Octet(s)
Détails techniques:
Reaplug-A est déposé par le ver Reatle-F.
Quand il est exécuté, Reaplug-A crée le mutex nommé "PNP-_-WORM" pour empêcher l'exécution simultanée de plusieurs versions du VER/VIRUS/TROJAN sur la machine infectée.
Reaplug-A se copie dans le dossier %System% sous le nom wuaaclt.exe et modifie la base de registre afin d'être lancé à chaque démarrage :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\PNP="wuaaclt.exe"
N.B. : Reaplug-A détermine l'emplacement du répertoire %System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de C:\Windows\System et sous XP : C:\Windows\System32.
Pour se propager, le ver utilise une faille de Windows concernant le service "Windows Plug and Play".
Sur chaque système que le ver aura exploité, il tentera de télécharger le fichier xwuaaclt.exe.
Pour plus d'informations sur cette vulnérabilite, veuillez consulter le Microsoft Security Bulletin MS05-039.
Le ver supprime également la valeur erthgdr2 des entrées de registre suivantes :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Cette valeur correspond aux vers de la famille Bagle.
Taille: 14848 Octet(s)
Détails techniques:
Reaplug-A est déposé par le ver Reatle-F.
Quand il est exécuté, Reaplug-A crée le mutex nommé "PNP-_-WORM" pour empêcher l'exécution simultanée de plusieurs versions du VER/VIRUS/TROJAN sur la machine infectée.
Reaplug-A se copie dans le dossier %System% sous le nom wuaaclt.exe et modifie la base de registre afin d'être lancé à chaque démarrage :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\PNP="wuaaclt.exe"
N.B. : Reaplug-A détermine l'emplacement du répertoire %System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de C:\Windows\System et sous XP : C:\Windows\System32.
Pour se propager, le ver utilise une faille de Windows concernant le service "Windows Plug and Play".
Sur chaque système que le ver aura exploité, il tentera de télécharger le fichier xwuaaclt.exe.
Pour plus d'informations sur cette vulnérabilite, veuillez consulter le Microsoft Security Bulletin MS05-039.
Le ver supprime également la valeur erthgdr2 des entrées de registre suivantes :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Cette valeur correspond aux vers de la famille Bagle.
Les Forums VirusTraQ
Un problème avec un virus, un ver, un cheval de Troie ou encore un spyware ?
Venez nous poser vos questions sur les forums VirusTraQ
Les listes VirusTraQ
Lettre d'information
Chaque vendredi, recevez un résumé de l'actualité de la semaine (articles, communiqués, interviews, derniers virus etc...)
Cliquez ici pour vous abonner !
Liste de diffusion Virus
Recevez en "temps réel" les toutes dernières descriptions de virus découverts en liberté.
Cliquez ici pour vous abonner !
