Worm.Win32_Anixma-A

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 29184 Octet(s)

Détails techniques:

Anixma-A peut être téléchargé du site http://members.lycos.nl/misscleo6969/RitaDisaster.pif.
A son exécution, il se copie dans le dossier %System% sous un nom aléatoire.

Afin d'être lancé à chaque démarrage de Windows, il ajoute l'entrée de registre suivante :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Windows Socketheader = "
{nom_du_fichier}"

Pour permettre des intrusions à distances, il désactive le pare-feu Windows en modifiant les entrées suivantes :

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
EnableFirewall = "dword:00000000"

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile
EnableFirewall = "dword:00000000"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
EnableFirewall = "dword:00000000"


Le ver constate l'existence de cette clé de registre pour se propager par AIM (AOL Instant Messenger) :

HKEY_LOCAL_MACHINE\SOFTWARE\America Online\AOL Instant Messenger (TM)\CurrentVersion\Login

Si elle existence, Anixma-A envoie un message à tous les contacts, du système infecté, connectés. Le message montre une url "camouflée" qui est en fait celle citée plus haut ; le message est accompagné de holycrap check that, pour inciter la victime potentielle à cliquer sur le lien.

Anixma-A comporte des fonctionnalités de porte dérobée. Le ver se connecte au serveur IRC xxx.steveballmer.biz ou xxx.skrillz.biz et joint un canal spécifique. Une fois connecté, il attend des commandes provenant d'un utilisateur malveillant.
Ce dernier pourra :

- Connaître le type de connexion, l'adresse IP et d'autres informations réseaux de l'ordinateur infecté
- Télécharger et exécuter des fichiers sur l'ordinateur infecté
- Mettre à jour le ver




http://www.securiteinfo.com/