Worm.Win32_Suclove-A

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 126976 Octet(s)

Détails techniques:

Quand il est exécuté, Suclove-A se copie sous le nom %Windir%\loveletter.doc.exe. Il se copie aussi sous les noms suivants :

%System%\dllhost.dll
%System%\LOADER32.COM
C:\WINLOGON.EXE


N.B.1 : %Windir% représentant le dossier Windows, généralement situé ici C:\Windows ou là C:\WINNT.

N.B.2 : Suclove-A détermine l'emplacement du répertoire %System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de C:\Windows\System et sous XP : C:\Windows\System32.

Le cas échéant, il peut aussi se copier sous le nom project1.doc.exe dans le lecteur A:.

Il modifie la base de registre afin d'être lancé à chaque démarrage de Windows :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
@ = "C:\WINLOGON.EXE"


Il ajjoute aussi l'entrée de registre suivante pendant son installation :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
DLL32 = "dllhost.dll"


Le ver modifie certains fonctionnalités de Windows :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer
NoFolderOptions = "dword:00000001"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableRegistryTools = "dword:00000001"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\HideFileExt
CheckedValue = "dword:00000001"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command
@ = ""C:\WINDOWS\system32\LOADER32.COM" %1""

HKEY_CLASSES_ROOT\exefile\shell\open\command
@ = ""C:\WINDOWS\system32\LOADER32.COM" %1"



Suclove-A se propage en envoyant une copie du ver à en pièce-jointe des e-mails, et en utilisant son propre moteur SMTP.

Il récolte les adresses électroniques contenues dans le chemin C:\Program Files\Yahoo!\Messenger\Profiles\.

Voici les caractéristiques du message envoyé :

Objet

L'un d'eux :

- Love for forgiveness:->
- Read my letter for you

Corps du message

L'un d'eux :

- I love you, please forgive me.
- this was created from the deep inside my heart.

Pièce-jointe

Loveletter.doc.exe


Suclove-A comporte également des propriétées de porte dérobée. Il se connecte à un serveur IRC et à un canal spécifique, en attente de commandes provenant d'un attaquant. Ce dernier pourra effectuer les commandes suivantes sur la machine infectée :

- Télécharger des fichiers
- Exécuter des process
- Exécuter des commandes FTP et HTTP
- Exécuter des fichiers
- Obtenir des informations confidentielles




http://www.altospam.com/