Worm.Win32_Suclove-A
Description
Détails
Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.
Taille: 126976 Octet(s)
Détails techniques:
Quand il est exécuté, Suclove-A se copie sous le nom %Windir%\loveletter.doc.exe. Il se copie aussi sous les noms suivants :
%System%\dllhost.dll
%System%\LOADER32.COM
C:\WINLOGON.EXE
N.B.1 : %Windir% représentant le dossier Windows, généralement situé ici C:\Windows ou là C:\WINNT.
N.B.2 : Suclove-A détermine l'emplacement du répertoire %System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de C:\Windows\System et sous XP : C:\Windows\System32.
Le cas échéant, il peut aussi se copier sous le nom project1.doc.exe dans le lecteur A:.
Il modifie la base de registre afin d'être lancé à chaque démarrage de Windows :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
@ = "C:\WINLOGON.EXE"
Il ajjoute aussi l'entrée de registre suivante pendant son installation :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
DLL32 = "dllhost.dll"
Le ver modifie certains fonctionnalités de Windows :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer
NoFolderOptions = "dword:00000001"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableRegistryTools = "dword:00000001"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\HideFileExt
CheckedValue = "dword:00000001"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command
@ = ""C:\WINDOWS\system32\LOADER32.COM" %1""
HKEY_CLASSES_ROOT\exefile\shell\open\command
@ = ""C:\WINDOWS\system32\LOADER32.COM" %1"
Suclove-A se propage en envoyant une copie du ver à en pièce-jointe des e-mails, et en utilisant son propre moteur SMTP.
Il récolte les adresses électroniques contenues dans le chemin C:\Program Files\Yahoo!\Messenger\Profiles\.
Voici les caractéristiques du message envoyé :
Objet
L'un d'eux :
- Love for forgiveness:->
- Read my letter for you
Corps du message
L'un d'eux :
- I love you, please forgive me.
- this was created from the deep inside my heart.
Pièce-jointe
Loveletter.doc.exe
Suclove-A comporte également des propriétées de porte dérobée. Il se connecte à un serveur IRC et à un canal spécifique, en attente de commandes provenant d'un attaquant. Ce dernier pourra effectuer les commandes suivantes sur la machine infectée :
- Télécharger des fichiers
- Exécuter des process
- Exécuter des commandes FTP et HTTP
- Exécuter des fichiers
- Obtenir des informations confidentielles
Taille: 126976 Octet(s)
Détails techniques:
Quand il est exécuté, Suclove-A se copie sous le nom %Windir%\loveletter.doc.exe. Il se copie aussi sous les noms suivants :
%System%\dllhost.dll
%System%\LOADER32.COM
C:\WINLOGON.EXE
N.B.1 : %Windir% représentant le dossier Windows, généralement situé ici C:\Windows ou là C:\WINNT.
N.B.2 : Suclove-A détermine l'emplacement du répertoire %System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de C:\Windows\System et sous XP : C:\Windows\System32.
Le cas échéant, il peut aussi se copier sous le nom project1.doc.exe dans le lecteur A:.
Il modifie la base de registre afin d'être lancé à chaque démarrage de Windows :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
@ = "C:\WINLOGON.EXE"
Il ajjoute aussi l'entrée de registre suivante pendant son installation :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
DLL32 = "dllhost.dll"
Le ver modifie certains fonctionnalités de Windows :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer
NoFolderOptions = "dword:00000001"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableRegistryTools = "dword:00000001"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\HideFileExt
CheckedValue = "dword:00000001"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command
@ = ""C:\WINDOWS\system32\LOADER32.COM" %1""
HKEY_CLASSES_ROOT\exefile\shell\open\command
@ = ""C:\WINDOWS\system32\LOADER32.COM" %1"
Suclove-A se propage en envoyant une copie du ver à en pièce-jointe des e-mails, et en utilisant son propre moteur SMTP.
Il récolte les adresses électroniques contenues dans le chemin C:\Program Files\Yahoo!\Messenger\Profiles\.
Voici les caractéristiques du message envoyé :
Objet
L'un d'eux :
- Love for forgiveness:->
- Read my letter for you
Corps du message
L'un d'eux :
- I love you, please forgive me.
- this was created from the deep inside my heart.
Pièce-jointe
Loveletter.doc.exe
Suclove-A comporte également des propriétées de porte dérobée. Il se connecte à un serveur IRC et à un canal spécifique, en attente de commandes provenant d'un attaquant. Ce dernier pourra effectuer les commandes suivantes sur la machine infectée :
- Télécharger des fichiers
- Exécuter des process
- Exécuter des commandes FTP et HTTP
- Exécuter des fichiers
- Obtenir des informations confidentielles
Les Forums VirusTraQ
Un problème avec un virus, un ver, un cheval de Troie ou encore un spyware ?
Venez nous poser vos questions sur les forums VirusTraQ
Les listes VirusTraQ
Lettre d'information
Chaque vendredi, recevez un résumé de l'actualité de la semaine (articles, communiqués, interviews, derniers virus etc...)
Cliquez ici pour vous abonner !
Liste de diffusion Virus
Recevez en "temps réel" les toutes dernières descriptions de virus découverts en liberté.
Cliquez ici pour vous abonner !
