Kaspersky Threats

Classe

Plateforme

Description

Détails techniques

C'est un ver Email / IRC. Le corps du ver lui-même est un fichier Win32 PE EXE écrit en VisualBasic. Le ver a trop de bugs pour être bien décrit.

Il se copie à:

C: windowsinstall_.exe
C: windowssystemsysboot_.exe

et s'enregistre dans les clés de Registre:

HKEY_CLASSES_ROOTexefileshellopencommand
"C: windowssystemsystray_.exe"% 1% *

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
SystemTray = C: Windowssystemsystray_.exe
SystemTray = C: Windowssystemsysboot_.exe

(la dernière ligne chevauche la première, donc la première ligne disparaît dans le registre du système).

HKEY_LOCAL_MACHINESoftwareWinsysinfo
Nom du programme = X-Coderz
CurrentVersionNumber = X-Coderz.VBS.03.A

(il a l'intention d'écrire plus de lignes là-bas, mais échoue).

Les messages envoyés par Email (il ne le fait pas non plus) contiennent le fichier joint INSTALL_.EXE, le texte du message et le sujet sont sélectionnés parmi les variantes:

Hey
Hey, comment ça va? J'écris ce courriel pour vous faire connaître un
Pièce jointe Im Envoi avec le prochain courrier que vous trouverez probablement. C'est très
Utile. J'ai fait! À bientôt

Hey c'est encore moi, ici vous allez son programme d'installation pour les adultes
Seul économiseur d'écran explicite (pornographique)

Hey c'est encore moi, ici vous allez son programme d'installation pour une perspective
Mise à niveau de sécurité express

Hey c'est encore moi, ici vous allez son programme d'installation pour un Microsoft
Correctif Explorer V7.5 (requis pour plusieurs sites)

Hey c'est moi encore, ici vous allez son programme d'installation pour un jeu cool
J'ai trouvé sur le Web, essayez-le!

Hey c'est encore moi, ici vous allez son programme d'installation pour un
Excellent lecteur MP3 avec plug-ins ÉDITION LIMITÉE

Pour se propager à travers les canaux IRC, le ver affecte le client mIRC dans le répertoire C: Mirc. Le ver écrit (avec succès) le fichier SCRIPT.INI avec les commandes qui envoient aux canaux IRC la copie du ver avec le nom "installx2.exe", et envoie aussi le message:

Tu dois voir ça. Parler de noyau dur, Jésus !! C'est kinky à son
mieux … tu dois voir ça, regarde-le !!

Le ver supprime les fichiers de données de Norton Anti-Virus: C: Program FilesNorton AntiVirus * .dat

Le 22 juin, le ver a l'intention d'afficher (mais échoue) la boîte de message:

Virus X-Coderz VBS 0.3
X-Coderz a pris le contrôle

puis:

X-Coderz ???
Supprimer le virus de votre système?

et alors:

X-Coderz
FUCK YOU !!!!!!

Lien vers l'original

Classe	Email-Worm
Plateforme	Win32
Description	Détails techniques C'est un ver Email / IRC. Le corps du ver lui-même est un fichier Win32 PE EXE écrit en VisualBasic. Le ver a trop de bugs pour être bien décrit. Il se copie à: C: windowsinstall_.exe C: windowssystemsysboot_.exe et s'enregistre dans les clés de Registre: HKEY_CLASSES_ROOTexefileshellopencommand "C: windowssystemsystray_.exe"% 1% * HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun SystemTray = C: Windowssystemsystray_.exe SystemTray = C: Windowssystemsysboot_.exe (la dernière ligne chevauche la première, donc la première ligne disparaît dans le registre du système). HKEY_LOCAL_MACHINESoftwareWinsysinfo Nom du programme = X-Coderz CurrentVersionNumber = X-Coderz.VBS.03.A (il a l'intention d'écrire plus de lignes là-bas, mais échoue). Les messages envoyés par Email (il ne le fait pas non plus) contiennent le fichier joint INSTALL_.EXE, le texte du message et le sujet sont sélectionnés parmi les variantes: Hey Hey, comment ça va? J'écris ce courriel pour vous faire connaître un Pièce jointe Im Envoi avec le prochain courrier que vous trouverez probablement. C'est très Utile. J'ai fait! À bientôt Hey c'est encore moi, ici vous allez son programme d'installation pour les adultes Seul économiseur d'écran explicite (pornographique) Hey c'est encore moi, ici vous allez son programme d'installation pour une perspective Mise à niveau de sécurité express Hey c'est encore moi, ici vous allez son programme d'installation pour un Microsoft Correctif Explorer V7.5 (requis pour plusieurs sites) Hey c'est moi encore, ici vous allez son programme d'installation pour un jeu cool J'ai trouvé sur le Web, essayez-le! Hey c'est encore moi, ici vous allez son programme d'installation pour un Excellent lecteur MP3 avec plug-ins ÉDITION LIMITÉE Pour se propager à travers les canaux IRC, le ver affecte le client mIRC dans le répertoire C: Mirc. Le ver écrit (avec succès) le fichier SCRIPT.INI avec les commandes qui envoient aux canaux IRC la copie du ver avec le nom "installx2.exe", et envoie aussi le message: Tu dois voir ça. Parler de noyau dur, Jésus !! C'est kinky à son mieux … tu dois voir ça, regarde-le !! Le ver supprime les fichiers de données de Norton Anti-Virus: C: Program FilesNorton AntiVirus * .dat Le 22 juin, le ver a l'intention d'afficher (mais échoue) la boîte de message: Virus X-Coderz VBS 0.3 X-Coderz a pris le contrôle puis: X-Coderz ??? Supprimer le virus de votre système? et alors: X-Coderz FUCK YOU !!!!!!
	Lien vers l'original

Email-Worm.Win32.XCod

Détails techniques