Worm.Win32_Bratle-A

Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 14848 Octet(s)

Détails techniques:

Quand il est exécuté, Bratle-A se copie sous le nom %System%\wuaaclt.exe et modifie le registre afin d'être lancé à chaque démarrage de Windows :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
PNP = "%System%\wuaaclt.exe"

N.B. : Bratle-A détermine l'emplacement du répertoire %System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de C:\Windows\System et sous XP : C:\Windows\System32.

Il supprime aussi les entrées suivantes si elles existent :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\erthgdr2
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\erthgdr2

Pour se répandre, Bratle-A tire profit d'une faille connue sur les systèmes Windows. Pour plus d'informations concernant cette dernière, veuillez consulter le Microsoft Security Bulletin MS05-039.

La propagation de ce ver n'est possible que sur les systèmes basés sur Windows NT, parce que la vulnérabilité "Plug and Play" ne touchent que ces derniers.

Bratle-A comporte une porte dérobée contrôlable par IRC. Il ouvre le port 9112, du système infecté, et se connecte sur un serveur IRC pour joindre un canal.
Une fois connecté, il attend des commandes provenant d'un bot IRC.
Cette porte dérobée permet de :

- Exécuter, lister et terminer des processus
- Ouvrir un shell à distance
- Ouvrir un serveur FTP
- Exécuter des commandes FTP

Bratle-A possède dans son code le message suivant !

PNP Worm has Written By Breatle Author ( fuck ya beagle and sasser )

Le ver crée également un mutex nommé "PnP-_-WORM" pour empêcher l'exécution simultanée de plusieurs versions du ver sur la machine infectée.