Worm.Win32_Guap-D

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 57344 Octet(s)

Détails techniques:

A son exécution, Guap-D se copie sous le nom %System%\0penGLD.exe et modifie le registre afin d'être exécuté automatiquement à chaque démarrage de Windows :

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
OpenGL Drivers = "%System%\0penGLD.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
OpenGL Drivers = "%System%\0penGLD.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
OpenGL Drivers = "%System%\0penGLD.exe"


N.B. : Guap-D détermine l'emplacement du répertoire %System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de C:\Windows\System et sous XP : C:\Windows\System32.

Guap-D désactive le pare-feu de Windows : Internet Connection Sharing (ICS), par l'entrée suivante :

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess
Start = "dword:00000004"


Puis il désactive le service de Centre de Sécurité :

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\wscsvc
Start = "dword:00000004"



Guap-D se répand grâce au logiciel de messagerie instantanée AOL Instant Messenger (AIM). Il envoie un message à tous les contacts, de l'utilisateur infecté, en ligne.

Le message est accompagné d'un lien qui permet d'enregistrer le ver sur le système ciblé.

Ce message peut être l'un des suivants :

- wow! me and my friends just got on my new webcam! come watch us:
http://home.eartink.net/~nkjdenny/Webcam.exe


- wow.. is this you? http://home.eartink.net/~nkjdenny/Webcam.exe

- found your picture! is this you?
http://home.eartink.net/~nkjdenny/Webcam.exe


- haha, this girl got busted so bad..
http://home.eartink.net/~nkjdenny/IMS.exe


- lmao i cant stop laughing at this!
http://home.eartink.net/~nkjdenny/Webcam.exe


- omg... this doesn't look right at all!!
http://home.eartink.net/~nkjdenny/IMS.exe


- this girl is crazy! go look at here -
http://home.eartink.net/~nkjdenny/Webcam.exe


- you have to take a look at this, tell me if you can open it -
http://home.eartink.net/~nkjdenny/RegistryFix.exe


- hey, you have to try this out...
http://home.eartink.net/~nkjdneny/RegistryFix.exe - removes all the spyware and viruses


- check this out:
http://home.eartink.net/~nkjdenny/Webcam.exe - it's live and free


- omg... i think i just found a pic of you, let me know - http://home.eartink.net/~nkjdenny/Webcam.exe


Guap-D modifie le fichier HOSTS du système infecté pour rediriger l'utilisateur vers l'adresse IP 127.0.2.5 rendant ainsi impossible l'accès aux sites suivants :

avast.com
avp.com
ca.com
cert.org
clamav.net
customer.symantec.com
dispatch.mcafee.com
download.mcafee.com
f-prot.com
f-secure.com
free-av.com
free.grisoft.com
grisoft.com
housecall.trendmicro.com
kaspersky-labs.com
kaspersky.com
liveupdate.symantec.com
liveupdate.symantecliveupdate.com
mast.mcafee.com
mcafee.com
microsoft.com
my-etrust.com
nai.com
networkassociates.com
pandasoftware.com
rads.mcafee.com
sarc.com
secure.nai.com
securityresponse.symantec.com
sophos.com
symantec.com
trendmicro.com
update.microsoft.com
update.symantec.com
updates.symantec.com
us.mcafee.com
vil.nai.com
viruslist.com
virustotal.com
windowsupdate.microsoft.com
www.avast.com
www.avp.com
www.ca.com
www.cert.org
www.clamav.net
www.f-prot.com
www.f-secure.com
www.free-av.com
www.grisoft.com
www.kaspersky.com
www.mcafee.com
www.microsoft.com
www.my-etrust.com
www.nai.com
www.networkassociates.com
www.pandasoftware.com
www.sarc.com
www.sophos.com
www.symantec.com
www.trendmicro.com
www.viruslist.com
www.virustotal.com





http://www.cccure.net/