CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

P2P-Worm.Win32.Gotorm

Classe P2P-Worm
Plateforme Win32
Description

Détails techniques

Ceci est un virus de ver. Il se propage à travers le réseau peer-to-peer Kazaa. En outre, il effectue certaines fonctions d'espionnage, la collecte de données sur certains jeux installés sur le PC affecté. Ce ver est une application Windows (fichier EXE PE). Il est écrit en Visual C et sa taille est de 196 608 octets.

Installation

Pendant l'installation, le ver produit le faux message d'erreur suivant concernant l'extraction de l'archive:

WinZip Self-Extractor, l'en-tête WinZip Self-Extractor corrompu. Cause possible: erreur de disque ou de transfert de fichier incorrecte.

Par la suite, il écrit lui-même dans le répertoire Windows sous le nom suivant:

mrowyekdc.exe

Cette installation du ver est ensuite enregistrée dans la clé d'exécution automatique du registre système:

 HKLMSoftwareMicrosoftWindowsCurrentVersionRun
  SVCHOST =% WindowsDir% mrowyekdc.exe 

Diffusion

Le ver crée un dossier nommé "Fichiers utilisateur" dans le répertoire Windows et s'y écrit sous les noms suivants:

Starcraft + Broodwar 1.10 carte hack.exe
Starcraft + Broodwar 1.10 pas-cd hack.exe
Diablo 2 map hack.exe
Diablo 2 no-cd hack.exe
Diablo 2 hero editor.exe de Jamella
Warcraft 3 map hack.exe
Warcraft 3 stat hack.exe
Warcraft 3 no-cd hack.exe
Warcraft 3 Frozen Throne carte hack.exe
Warcraft 3 Frozen Throne cd-cd hack.exe
La carte Frozen Throne hack.exe
Counterstrike hacks.exe
Contrestrike vis hack.exe

Ce dossier est ensuite noté dans le registre système Windows en tant que contenu local pour le réseau d'échange de fichiers Kazaa:

 HKCUSoftwareKazaaLocalContent
  dir0 = 012345:% Windir% fichiers utilisateur
  DisableSharing = "0 

Par conséquent, les fichiers contenus dans ce dossier peuvent être téléchargés sur d'autres utilisateurs de réseaux P2P.

Fonction d'espion

Le ver vérifie dans le registre système les clés relatives aux jeux informatiques populaires (Counter Strike, Diablo, Warcraft, Starcraft) et envoie les données collectées au «propriétaire» du ver en utilisant une connexion serveur SMTP.

Divers

Le ver vérifie la date et l'heure du système. Si le mois d'activation du ver est antérieur à août, il cesse d'exécuter ses fonctions et supprime toutes ses entrées dans le registre système.


Lien vers l'original