Page principale >Virus
Suite...
Suite...
Suite...
Suite...
Suite...
Winevar, le virus ravageur ( alias Korvar )
Winevar est un ver qui neutralise certains antivirus et firewall, puis copie et executer le virus FunLove.4099. De plus, il supprime de nombreux fichiers et dossiers.
Winevar arrive dans un email qui contient trois attachements. Les noms sont variables mais ils auront le format:
Win[caracteres aleatoires].Txt (12.6 KB) Music_1.htm
Win[caracteres aleatoires].Gif (120 Bytes) Music_2.ceo
Win[caracteres aleatoires].pif
Le fichier htm exploite la vulnérabilité composante de VM ActiveX de Microsoft pour enregistrer l'extension ceo comme fichier exécutable. Le message d'email est formé pour tirer profit de la vulnérabilité Incorrect MIME Header Can Cause IE to Execute E-mail Attachment mais en raison d'un bug dans le code, l'attachement ne fonctionnera pas automatiquement.
Noter que le fichier htm devrait etre détecté comme JS.Exception.Exploit.
Quand Winevar est exécuté, il essaye de terminer et neutraliser quelques antivirus et firewall. Ceci est réalisé en énumérant tous les services et fenêtres, et ferme n'importe quel processus ou service dont le nom contient n'importe lequel des mots qui suivent:
view
debu
scan
mon
vir
iom
ice
anti
fir
prot
secu
dbg
avk
pcc
spy
à moins que le nom contienne également:
microsoft
ms
_np
r n
cicer
irmon
smtpsvc
moniker
office
program
explorewclass
Après que tous les processus et services aient été vérifiés, le ver ajoute une référence à lui-même dans le registre:
Sous Windows 95/98/Me, le ver ajoute ou modifie un de ces valeurs:
(Default) Win[caracteres aleatoires].pif
Win[caracteres aleatoires] Win[caracteres aleatoires].pif
à la clef de registre:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
Sous toutes les plateformes le ver ajoute ou modifie un de ces valeurs:
(défaut) Win[caracteres aleatoires]
à ces clefs de registre:
HKEY_local_machine\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_Current_User\Software\Microsoft\Windows\CurrentVersion\Run
Chaque fois que le ver est exécuté, de nouvelles données seront ajoutées à ces valeurs
Apres avoir changer les valeurs du registre, le ver se copie comme %system%\[caracteres aleatoires].pif et puis l'exécute, passant comme paramètre le temps courant en millisecondes. Quand ce deuxième ver atteint le lecteur, il vérifie le temps écoulé contre le paramètre qui a été passé. Si plus de 512 millisecondes se sont écoulées, alors le ver montre le message suivant et active sa charge utile:
La charge utile execute une routine pour terminer et neutraliser des antivirus et firewall. Ceci est fait une fois chaque seconde, alors que le ver essaye de supprimer tous les fichiers dans tous les sous-dossiers d'ou le ver a été lancé.
Si la charge utile n'a pas été activée, alors le ver essaye de créer le mutex:
~~ Drone of StarCraft~~
S'il n'y a aucune connection active Internet, alors le ver utilise la copie de Funlove.4099 que le ver transporte.
le ver se copie au dossier %desktop% comme Explorer.pif.
Après, sur chaque lecteur fixe de l'ordinateur local, le ver examine tous les fichiers dans tous les sous-dossiers, recherchant des fichiers htm et dbx. Si le nom de n'importe quel sous-dossier contient:
antivirus
cillin
nlab
vacc
alors le ver supprime tous les fichiers dans tous les sous-dossiers sous ces sous-dossiers. Ces noms correspondent a des logiciels antivirus populaire en Corée, en Chine, et au Japon.
Si des fichiers htm ou dbx sont trouvés, alors le ver regarde à l'intérieur d'eux pour trouver des adresses email. Pour chaque email qui ne contient pas "@microsoft.," si l'adresse n'a pas été déjà utilisée, le ver s'envoie à cette adresse. Le ver sauve la liste de destinataires dans le registre sous HKEY_CLASSES_ROOT\Software\Microsoft\DataFactory . La liste est gardée seulement pour la session en cours, et est supprimée chaque fois que le ver est remis en marche. Le ver utilise son propre client smtp pour envoyer l'email, et utilise la consultation de DNS pour déterminer le serveur mail du Nom de Domaine du destinataire.
Pour se désinfecter:
Mettre à jour son antivirus
Scanner son ordinateur
Supprimer tous les fichiers détectés comme Winevar, FunLove.4099, ou JS.Exception.Exploit
Supprimer les valeurs ajoutée au registre.
Win[caracteres aleatoires].Txt (12.6 KB) Music_1.htm
Win[caracteres aleatoires].Gif (120 Bytes) Music_2.ceo
Win[caracteres aleatoires].pif
Le fichier htm exploite la vulnérabilité composante de VM ActiveX de Microsoft pour enregistrer l'extension ceo comme fichier exécutable. Le message d'email est formé pour tirer profit de la vulnérabilité Incorrect MIME Header Can Cause IE to Execute E-mail Attachment mais en raison d'un bug dans le code, l'attachement ne fonctionnera pas automatiquement.
Noter que le fichier htm devrait etre détecté comme JS.Exception.Exploit.
Quand Winevar est exécuté, il essaye de terminer et neutraliser quelques antivirus et firewall. Ceci est réalisé en énumérant tous les services et fenêtres, et ferme n'importe quel processus ou service dont le nom contient n'importe lequel des mots qui suivent:
view
debu
scan
mon
vir
iom
ice
anti
fir
prot
secu
dbg
avk
pcc
spy
à moins que le nom contienne également:
microsoft
ms
_np
r n
cicer
irmon
smtpsvc
moniker
office
program
explorewclass
Après que tous les processus et services aient été vérifiés, le ver ajoute une référence à lui-même dans le registre:
Sous Windows 95/98/Me, le ver ajoute ou modifie un de ces valeurs:
(Default) Win[caracteres aleatoires].pif
Win[caracteres aleatoires] Win[caracteres aleatoires].pif
à la clef de registre:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
Sous toutes les plateformes le ver ajoute ou modifie un de ces valeurs:
(défaut) Win[caracteres aleatoires]
à ces clefs de registre:
HKEY_local_machine\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_Current_User\Software\Microsoft\Windows\CurrentVersion\Run
Chaque fois que le ver est exécuté, de nouvelles données seront ajoutées à ces valeurs
Apres avoir changer les valeurs du registre, le ver se copie comme %system%\[caracteres aleatoires].pif et puis l'exécute, passant comme paramètre le temps courant en millisecondes. Quand ce deuxième ver atteint le lecteur, il vérifie le temps écoulé contre le paramètre qui a été passé. Si plus de 512 millisecondes se sont écoulées, alors le ver montre le message suivant et active sa charge utile:
La charge utile execute une routine pour terminer et neutraliser des antivirus et firewall. Ceci est fait une fois chaque seconde, alors que le ver essaye de supprimer tous les fichiers dans tous les sous-dossiers d'ou le ver a été lancé.
Si la charge utile n'a pas été activée, alors le ver essaye de créer le mutex:
~~ Drone of StarCraft~~
S'il n'y a aucune connection active Internet, alors le ver utilise la copie de Funlove.4099 que le ver transporte.
le ver se copie au dossier %desktop% comme Explorer.pif.
Après, sur chaque lecteur fixe de l'ordinateur local, le ver examine tous les fichiers dans tous les sous-dossiers, recherchant des fichiers htm et dbx. Si le nom de n'importe quel sous-dossier contient:
antivirus
cillin
nlab
vacc
alors le ver supprime tous les fichiers dans tous les sous-dossiers sous ces sous-dossiers. Ces noms correspondent a des logiciels antivirus populaire en Corée, en Chine, et au Japon.
Si des fichiers htm ou dbx sont trouvés, alors le ver regarde à l'intérieur d'eux pour trouver des adresses email. Pour chaque email qui ne contient pas "@microsoft.," si l'adresse n'a pas été déjà utilisée, le ver s'envoie à cette adresse. Le ver sauve la liste de destinataires dans le registre sous HKEY_CLASSES_ROOT\Software\Microsoft\DataFactory . La liste est gardée seulement pour la session en cours, et est supprimée chaque fois que le ver est remis en marche. Le ver utilise son propre client smtp pour envoyer l'email, et utilise la consultation de DNS pour déterminer le serveur mail du Nom de Domaine du destinataire.
Pour se désinfecter:
Mettre à jour son antivirus
Scanner son ordinateur
Supprimer tous les fichiers détectés comme Winevar, FunLove.4099, ou JS.Exception.Exploit
Supprimer les valeurs ajoutée au registre.
Les + Lus Dans Cette Catégorie
Virus Xabot
Xabot est un ver qui essaye de se propager par Irc et peer-to-peer. Il possede aussi des fonctionnalités indetiques à un trojan, permettant de prendre controle d'un pc infecté à distance. L'existence du dossier wininit32.exe est une indication d'une infection possible.Suite...
Virus Hobble.F (alias Alcatap )
Hobble.F est une variante du ver de Hobble. Il essaye de se propager à travers le réseau de partage de KaZaA. Il s'envoie également aux adresses d'email qu'il recherche à partir des dossiers htm et html qu'il trouve dans le cache d'Internet Explorer, et à toutes les adresses dans le carnet d'adresses de Microsoft Outlook.Suite...
Virus SQLExp SQL Slammer responsable du ralentissement
Ce ver est le responsable du ralentissement actuel d'internet. Il rappelle Code red et semble aussi virulent que ce dernier. Il est indetecté par les anti virus type scanner car il exsite uniquement en memoire. Le ver envoie 376 bits au port 1434 udp - le port de service de résolution de serveur de SQL.Suite...
Virus Lirva alias Avril.A Lirva.b Lirva.a Avron.c
Lirva est un ver qui se propage par egalement IRC, ICQ, KaZaA et le réseau. Ce ver essaye de terminer les processus d'antivirus et de firewall. Il envoit par email les mots de passe cachés de gestion de connection de Windows 95/98/Me à l'auteur de virus.Suite...
Virus Cult.B alias Lanet
Cult.B est un ver qui utilise son propre moteur de smtp pour se propager. Les destinataires de l'email sont construits aléatoirement d'une liste de nom et d'un domaine choisi. Cult.B essaye également de se propager en utilisant le réseau de partage de KaZaA. De plus, le ver permet une prise de controle à distance du PC infecté.Suite...
Navigation Rapide
|
Astuces Webmaster Astuces WINDOWS Astuces WINDOWS XP Comment ça marche DVD / Secret Evenements Exploits Hacking / Sécurité | Hardware Jeux Vidéo linux News Script(php,java...) Telephonie/GSM Virus |
