Worm.Win32_Ahker-K

Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 16896 Octet(s)

Détails techniques:

Ahker-K arrive par e-mail, en pièce-jointe. Il se peut qu'il soit téléchargé directement d'Internet :

http://www.geocities.com/ahker{censuré}

Il peut mettre à jour le ver avec le lien ci-dessus.

A son exécution, Ahker-K se copie sous le nom %Windir%\lsass.exe, ce fichier comporte la propriété "Fichier caché". Le ver dépose aussi le fichhier C:\ddos.exe ; ce fichier a la propriété "Archive".

Le ver télécharge le fichier mswinsck.ocx (non malveillant) et l'enregistre dans le dossier %System%. Si le ver s'exécute sans ce fichier OCX, il affiche un message d'erreur (voir capture d'écran).

N.B. : Ahker-K détermine l'emplacement du répertoire %System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de C:\Windows\System et sous XP : C:\Windows\System32.

Afin d'être lancé à chaque démarrage de Windows, Ahker-K crée l'entrée de registre suivante :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
LSA Shell (Export Version) = "%Windir%\lsass.exe"

Le ver peut s'exécuter à chaque fois qu'un fichier texte est ouvert :

HKEY_CLASSES_ROOT\txtfile\shell\open\command
@ = "%Windir%\lsass.exe %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\command
@ = "%Windir%\lsass.exe %1"

N.B. : %Windir% représentant le dossier Windows, généralement situé ici C:\Windows ou là C:\WINNT.


Ahker-K peut se propager par e-mail.

Le message envoyé peut être l'un des suivants :

Objet : FW: Check this out! LMFAO!!
Expéditeur : webmaster@games.com
Corps du message : You'll find it in the attachement! Have fun!
Enjoy Bin Laden's & Saddam's latest mini-game!
Pièce-jointe : Mini-Game.zip

Objet : FW: Bin Laden mini game! Download it NOW! LOL!
Expéditeur : games@cnn.com
Corps du message : Here it is! LOL!
Enjoy Bin Laden's & Saddam's latest mini-game!
Pièce-jointe : Mini-Game.zip

Objet : FW: Latest Bin Laden mini game!
Expéditeur : webmaster@gamespot.com
Corps du message : You'll find the game attached! LMFAO!
Enjoy Bin Laden's & Saddam's latest mini-game!
Pièce-jointe : Mini-Game.zip

Objet : FW: Breaking News! Bin Laden's...MINI GAME! LOL!
Expéditeur : webmaster@ign.com
Corps du message : Thanks to CNN for this new funny game! LOL! Keep it up!
Enjoy Bin Laden's & Saddam's latest mini-game!
Pièce-jointe : Mini-Game.zip

Objet : FW: BREAKING NEWS!! LOL!
Expéditeur : webmaster@gamepro.com
Corps du message : Just have fun...can't say much! LOL!
Enjoy Bin Laden's & Saddam's latest mini-game!
Pièce-jointe : Mini-Game.zip

Objet : FW: FW: check Saddam's first ever mini game!
Expéditeur : webmaster@gamerevolution.com
Corps du message : Have fun! The best! enjoy!
Enjoy Bin Laden's & Saddam's latest mini-game!
Pièce-jointe : Mini-Game.zip

Objet : FW: FW: Download Saddam's NEW mini game!
Expéditeur : webmaster@ahker-games.org
Corps du message : Awesome game. Download it! thanks CNN!
Enjoy Bin Laden's & Saddam's latest mini-game!
Pièce-jointe : Mini-Game.zip

Objet : FW: FW: Download Bush's mini game! LMFAO!
Expéditeur : webmaster@downloads.com
Corps du message : It's cool!!!!!!!!!! I want to thank CNN!
Enjoy Bin Laden's & Saddam's latest mini-game!
Pièce-jointe : Mini-Game.zip

Objet : FW: FW: CNN releases Bin Laden's mini game!
Expéditeur : webmaster@arcade.com
Corps du message : If you wanna laugh out loud...just try this mini game...! LOL!
Enjoy Bin Laden's & Saddam's latest mini-game!
Pièce-jointe : Mini-Game.zip

Objet : FW: FW: CHECK this out! :)
Expéditeur : mini-games@iml.edu.lb
Corps du message : You'll find the mini-game in the attachement!!
Enjoy Bin Laden's & Saddam's latest mini-game!
Pièce-jointe : Mini-Game.zip

Pour trouver des expéditeurs, le ver cherche des adresses électroniques tous les fichiers ayant les extensions :

.abc
.abd
.abx
.adb
.ade
.adp
.adr
.asp
.bak
.bas
.cfg
.cgi
.cls
.cms
.csv
.ctl
.dbx
.dhtm
.doc
.dsp
.dsw
.eml
.fdb
.frm
.hlp
.hta
.hte
.htm
.html
.htt
.htx
.imb
.imh
.imm
.inbox
.ini
.jsp
.ldb
.ldif
.log
.mbx
.mda
.mdb
.mde
.mdw
.mdx
.mht
.mmf
.msg
.nab
.nch
.nfo
.nsf
.nws
.ods
.oft
.php
.phtm
.pl
.pmr
.pp
.ppt
.pst
.rtf
.sht
.shtml
.slk
.sln
.stm
.tbb
.txt
.uin
.vap
.vbs
.vcf
.wab
.wsh
.xhtml
.xls
.xml

Ahker-K lance des attaques de déni de service (DoS) contre le site web http://www.cnn.com. Il envoie des pings de 65500 octets en continu.

Ahker-K modifie le fichier HOSTS du système infecté pour empêcher l'accès à certains sites web. Il redirige les sites suivants vers le localhost (127.0.0.1) :

avp.com
ca.com
customer.symantec.com
dispatch.mcafee.com
download.mcafee.com
f-secure.com
grisoft.com
kaspersky-labs.com
kaspersky.com
liveupdate.symantec.com
liveupdate.symantecliveupdate.com
mast.mcafee.com
mcafee.com
messenger.hotmail.com
my-etrust.com
nai.com
networkassociates.com
rads.mcafee.com
secure.nai.com
securityresponse.symantec.com
sophos.com
symantec.com
trendmicro.com
update.symantec.com
updates.symantec.com
us.mcafee.com
viruslist.com
windowsupdate.microsoft.com
www.avp.com
www.ca.com
www.f-secure.com
www.grisoft.com
www.kaspersky.com
www.mcafee.com
www.my-etrust.com
www.nai.com
www.networkassociates.com
www.rohitab.com
www.sophos.com
www.symantec.com
www.trendmicro.com
www.viruslist.com

Il ajoute aussi la ligne suivant au fichier HOSTS :

Next Generation Worm - Agent Hacker (C) 2004-2005

Il termine aussi des processus relatifs à des logiciels de sécurité :

ccApp.exe
DAP.exe
gcasDtServ.exe
gcasServ.exe
GIANTAntiSpywareMain.exe

Ahker-K a été compilé avec Visual Basic.

Capture(s) d'écran: