CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

P2P-Worm.Win32.Scranor

Classe P2P-Worm
Plateforme Win32
Description

Détails techniques

Ce ver se propage via les réseaux de partage de fichiers Kazaa et iMesh, ainsi que via IRC.

Le ver lui-même est un fichier Windows PE EXE, d'une taille d'environ 12 Ko.

Installation

Une fois lancé, le ver crée un dossier appelé "Sys32i" dans le répertoire Program Files, et se copie dans ce fichier en tant que "Scran.exe".

Ce fichier est enregistré dans le registre système en tant que clé pour activer l'exécution automatique:

 [HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
  W32.Scran =% ProgramDir% sys32iScran.exe 

Cela garantit que le ver sera lancé chaque fois que le système est redémarré.

Le ver crée plusieurs autres copies de lui-même sous les noms suivants:

 Age of Empires crack.exe 
Age of Empires.exe
CD Key.exe 
Counter Strike 6.exe
Counter Strike.exe
Grand Theft Auto 3 CD2 ISO.exe
Half-Life.exe
Hotmail compte cracker.exe
Hotmail Hack.exe
KeyGen.exe
Microsoft Office.exe
Norton Anti Virus 2004.exe
Norton Anti Virus 2005.exe
Norton Anti Virus Crack.exe
Norton Firewall.exe 
Norton Internet Security 2004.exe
Partition Magic 8.exe
Playstation 2.exe
Resident Evil.exe
Scran.cpl
Tomb Raider.exe
Trojan Remover.exe
Windows XP Home.exe
Yahoo Hack.exe
ZoneAlarm Firewall Pro.exe 

Ce dossier sera affiché dans le registre système en tant que contenu local pour Kazaa et iMesh:

 [HKCUSoftwareKazaaLocalContent]
[HKCUSoftwareKazaaTransfer]
  "dir0" = "012345:% ProgramDir% sys32i"
[HKCUSoftwareiMeshClientLocalContent]
  "dir0" = "012345:% ProgramDir% sys32i" 

Ces fichiers seront alors accessibles aux autres utilisateurs des réseaux P2P.

Le ver crée un identifiant "W32.Scran-Worm" pour signaler sa présence dans le système.

Propagation via IRC

Le ver recherche sur la machine victime un client IRC. S'il en détecte un, il modifiera le contenu du fichier "script.ini" de sorte que le ver soit transmis à tous les utilisateurs qui entrent dans les canaux IRC utilisés par la machine infectée.

Autre

Le ver va télécharger un fichier nommé "botnet.jpg" sur http://www.freewebs.com. Ce fichier sera sauvegardé dans le répertoire racine C: "botnet.exe". Ce fichier contient la dernière version de Backdoor.Win32.Rbot.gen.

Le 1er janvier, le ver fera apparaître une boîte de dialogue contenant le texte suivant à l'écran:

 Ha?
Bonne année W32.Scran !! 

Lien vers l'original