Cette section destinée aux experts, expose les détails techniques de ce virus.Taille: 11213 Octet(s)
Détails techniques: Une description de l'e-mail, envoyé par DlVeeb-A, est disponible en capture d'écran.
Quand sa pièce-jointe est exécutée, DlVeeb-A se copie sous le nom
%System%\ipwf.exe et modifie le registre afin d'être lancé à chaque démarrage de Windows :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\IPFW = "%System%\ipwf.exe"
N.B. : DlVeeb-A détermine l'emplacement du répertoire
%System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de
C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de
C:\Windows\System et sous XP :
C:\Windows\System32.
Le cheval de Troie crée également un mutex nommé "
ernvlkernve9235923 veeb;d" pour empêcher l'exécution simultanée de plusieurs versions du trojan sur la machine infectée.
DlVeeb-A dispose d'une liste d'url codée en "dur" dans le programme d'où il peut télécharger un fichier de configuration crypté. Cette liste est sauvegardée sous le nom
%System%\driver\winut.dat.
Les domaines suivants peuvent contenir le fichier de configuration :
arcticstudios.co.uk
blazingweb.co.uk
ecoline-spb.ru
dmitrovka.com
bestmega.net
www.keramzit-isr.saminfo.ru
vigos.ru
www.diverseinteriors.co.uk
www.bsatrans.com
pcdr.ch
vomfunkewald.de
www.iars.org.uk
www.goldticks.com
www.gardnersworld.co.uk
www.eq2-aequitas.com
vigos.ru
Ce fichier de configuration contient des adresses depuis lesquelles il peut télécharger et exécuter des fichiers. DlVeeb-A sauvegarde ces fichiers dans le dossier
%System% avec l'extension"
.exe". Ces fichiers sont ensuites exécutés. Pour le moment, DlVeeb-A télécharge un autre ver,
Starimp-A qui se répand par les réseaux peer to peer.
DlVeeb-A termine les processus suivants :
amon.exe
ccapp.exe
firewall.exe
kpf4ss.exe
kpf4gui.exe
MpfService.exe
NPROTECT.exe
tpfw.exe
armor2net.exe
zonealarm.exe
ZAPRO.exe
Sur les systèmes XP, le cheval de Troie s'ajoute lui-même aux règles de sécurité du pare-feu ICF (Internet Connection Firewall) en ajoutant cette entrée de registre :
HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\%System%\ipwf.exe = "%System%\ipwf.exe:*:Enabled:ipwf
DlVeeb-A utilise la clé de registre suivante pour stocker des informations :
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsShellCapture(s) d'écran: