Email-Worm.Win32.Xanax

Détails techniques

C'est un ver Internet qui a été découvert dans la nature à la mi-mars 2001. Le ver se propage par courrier électronique en envoyant des messages infectés provenant d'ordinateurs affectés via des canaux IRC en y envoyant sa copie. Le ver infecte également les fichiers EXE dans le répertoire Windows.

Le ver lui-même est une application Win32 (fichier PE EXE) écrite en langage Microsoft Visual C ++. La taille du ver est d'environ 60K, mais elle a été trouvée sous forme compressée: le code du ver a été compressé par l'utilitaire ASPack, avec une longueur d'environ 34K.

Lorsque le ver démarre, il se copie dans le répertoire système Windows avec deux noms: XANAX.EXE et XANSTART.EXE. Le fichier XANSTART.EXE est ensuite enregistré dans la clé d'exécution automatique du Registre:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
Valeur par défaut =% winsystem% xanstart.exe

où% winsystem% est le nom du répertoire système Windows. Par conséquent, le ver est exécuté chaque fois que Windows démarre.

E-mail infecté

Le ver lance alors sa routine d'épandage par e-mail. Pour ce faire, le ver crée un fichier XANAX.VBS temporaire (script Visual Basic), y écrit un programme VBS et le lance à l'aide de WSCRIPT.EXE. Le programme VBS accède au carnet d'adresses Outlook et envoie des messages aux 1 000 premières adresses de chacune des listes d'adresses

Sujet: Stressé? Essayez Xanax!
Corps:

Salut! Êtes-vous tellement stressé que cela vous rend malade? Tu n'es pas seul!
Beaucoup de gens souffrent de stress, ces jours-ci. Peut-être que vous trouvez aussi Prozac
fort? Ensuite, vous avez besoin d'essayer Xanax, c'est plus doux. Toujours pas convaincu?
Consultez les détails médicaux dans le fichier joint. Xanax pourrait changer
ta vie!

Pièces jointes: xanax.exe

Infecter les fichiers EXE

Le ver recherche ensuite les fichiers EXE dans le répertoire Windows et les infecte. Pendant l'infection, le ver déplace le corps d'un fichier victime et écrit lui-même au début du fichier. Le ver n'infecte pas les fichiers dont le nom commence par E, P, R, S, T, W.

Canaux IRC

Ensuite, le ver infecte le client mIRC s'il est installé. Le ver recherche le client mIRC dans les répertoires suivants:

mirc
Programme Filesmirc

sur les lecteurs C :, D :, E: et F:. Si le client mIRC existe, le ver écrase le fichier de script SCRIPT.INI mIRC avec un programme qui envoie la copie du ver à tous ceux qui rejoignent le canal infecté.

Autres commentaires

Lorsque le ver est exécuté à partir d'un fichier portant le nom "R" comme étant l'avant-dernier dans un nom de fichier (xxxRx.EXE), il affiche le message suivant:

Le nom exact comme celui-ci contient le fichier XANSTART.EXE du ver qui est enregistré dans la clé d'exécution automatique du Registre du système. Ainsi, le ver affiche ce message à chaque démarrage de Windows.

Le ver crée également plus de fichiers dans le système:

Répertoire système Windows: HOSTFILE.EXE

Répertoire Windows: WINSTART.BAT, XANAX.SYS

Le HOSTFILE.EXE reste après l'exécution d'un fichier hôte infecté, et ce fichier contient un corps pur (non infecté) du dernier fichier infecté.

Le fichier XANAX.SYS contient le texte:

Win32.HLLP.Xanax (c) 2001 Gigabyte

Le fichier WINSTART.BAT contient des commandes qui affichent le message:

Ne prenez pas ce médicament avec de l'éthanol, du Buspar (buspirone), des antidépresseurs TCA, des narcotiques ou d'autres dépresseurs du SNC. Cette combinaison peut augmenter la dépression du SNC. Assurez-vous de ne pas prendre d'autres sédatifs, des benzodiazépines ou des somnifères avec ce médicament. Les combinaisons pourraient être fatales. Ne fumez pas et ne buvez pas d'alcool lorsque vous prenez Xanax. L'alcool peut abaisser la tension artérielle et diminuer votre rythme respiratoire jusqu'à l'inconscience. Le tabagisme et la consommation de marijuana peuvent ajouter aux effets sédatifs de Xanax.