Worm.Win32_Rontokbro-A

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 102400 Octet(s)

Détails techniques:

Quand Rontokbro-A est exécuté, il se copie sous les noms :

%System%\3D Animation.scr
C:\Windows\PIF\CVT.exe


N.B. : Rontokbro-A détermine l'emplacement du répertoire %System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de C:\Windows\System et sous XP : C:\Windows\System32.

Sur les systèmes Windows NT, 2000, XP, et Server 2003, il dépose aussi les fichiers suivants :

C:\Documents and Settings\{nom d'utilisateur}\Local Settings\Application Data\csrss.exe
C:\Documents and Settings\
{nom d'utilisateur}\Local Settings\Application Data\inetinfo.exe
C:\Documents and Settings\
{nom d'utilisateur}\Local Settings\Application Data\lsass.exe
C:\Documents and Settings\
{nom d'utilisateur}\Local Settings\Application Data\services.exe
C:\Documents and Settings\
{nom d'utilisateur}\Local Settings\Application Data\IDTemplate.exe
C:\Documents and Settings\
{nom d'utilisateur}\Start Menu\Programs\Startup\Empty.pif
C:\Documents and Settings\
{nom d'utilisateur}\Templates\A.kotnorB.com

Rontokbro-A crée aussi le dossier Bron.tok-29 dans le chemin :

C:\Documents and Settings\{nom d'utilisateur}\Local Settings\Application Data

Il remplace le contenu du fichier C:\autoexec.bat par :

pause

Ceci bloque le démarrage de Windows. L'utilisateur doit appuyer sur une touche pour reprendre le démarrage.

Le ver ajoute ensuite les entrées de registre suivantes afin d'être lancé à chaque démarrage de Windows :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Bron-Spizaetus = "C:\Windows\PIF\CVT.exe"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Tok-Cirrhatus = "C:\Documents and Settings\
{nom d'utilisateur}\Application Data\IDTemplate.exe"

Rontokbro-A se propage par e-mail en utilisant son propre moteur SMTP.
Voici les caractéristiques du message envoyé :

Objet

{vierge}

Pièce-jointe

Kangen.exe

Le fichier en pièce-jointe est une copie du ver. Ce fichier utilise l'icône du dossier Windows pour tromper les utilisateurs.

Le ver recherche les adresses e-mails dans les fichiers ayant les extensions suivantes :

asp
cfm
csv
doc
eml
html
php
txt
wab


Il évite d'envoyer le message aux adresses contenant les mots suivants :

ADMIN
AVIRA
AVAST
TRUST
ESAVE
ESAFE
PROTECT
ALADDIN
ALERT
BUILDER
DATABASE
AHNLAB
PROLAND
ESCAN
HAURI
NOD32
SYBARI
ANTIGEN
ROBOT
ALWIL
MASTER
MICROSOFT
VIRUS
CRACK
LINUX
GRISOFT
CILLIN
SECURITY
SYMANTEC
ASSOCIATE
VAKSIN
NORTON
NORMAN
PANDA
VAKSIN
DEVELOP
PROGRAM
SOURCE
NETWORK
UPDATE
EXAMPLE
CONTOH
INFO@
BILLING@


Rontokbro-A peut redémarrer le système quand, dans les fenêtres ouvertes, il trouve les chaînes de caractères ".exe" et "registry" dans le titre de celles-ci.

Le ver a été compilé avec Visual Basic et a besoin de msvbvm60.dll pour fonctionner correctement.




http://www.pourriel.ca/