CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.
Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.
Date de la détection | 06/19/2007 |
Classe | Virus |
Plateforme | Win32 |
Description |
Le virus infecte tous les fichiers exécutables Windows accessibles en écriture (PE-EXE) sur tous les disques de l'ordinateur victime et dans les dossiers réseau accessibles. Le virus n'infecte pas les fichiers avec les noms suivants: wooolcfg.exe woool.exe ztconfig.exe patchupdate.exe trojankiller.exe xy2player.exe flyff.exe xy2.exe au_unins_web.exe cabal.exe cabalmain9x.exe cabalmain.exe meteor.exe patcher.exe mjonline.exe config.exe zuonline.exe userpic.exe main.exe dk2.exe autoupdate.exe dbfsupdate.exe asktao.exe sealspeed.exe xlqy2.exe game.exe wb-service.exe nbt-dragonraja2006.exe dragonraja.exe mhclient-connect.exe hs.exe mts.exe gc.exe zfs.exe neuz.exe maplestory.exe nsstarter.exe nmcosrv.exe ca.exe nmservice.exe kartrider.exe audition.exe zhengtu.exe Le virus écrit son fichier exécutable au début du fichier infecté, déplaçant vers le bas le contenu original du fichier. Pour infecter des fichiers situés dans des dossiers réseau, le virus tente de se connecter à des ordinateurs distants à l'aide du compte Administrateur et de l'un des mots de passe suivants: zxcv qazwsx qaz qwer ! @ # $% ^ & * () ! @ # $% ^ & * ( ! @ # $% ^ & * ! @ # $% ^ & ! @ # $% ^ ! @ # $% aasdf sdfgh ! @ # $ 654321 123456 12345 1234 123 111 Le virus envoie également des informations au site de l'utilisateur malveillant distant sur la quantité d'espace libre sur le disque C, le système d'exploitation et les versions d'Internet Explorer sur la machine victime et sur la présence de pilotes dans le système dont l'un des noms au dessous de: Hooksys KWatch3 KregEx KLPF NaiAvFilter1 NAVAP AVGNTMGR AvgTdi nod32drv PavProtect TMFilter BDFsDrv VETFDDNT Ces informations sont envoyées dans la demande suivante au site de l'utilisateur malveillant distant: http: //****mrw0rldwide.com/co.asp? action = post & HD = <quantité d'espace libre> & OT = <version du système d'exploitation> & IV = <version d'Internet Explorer> & AV = <pilotes installés> Le virus obtient également une liste de fichiers à télécharger à partir du lien suivant: http: //****mrw0rldwide.com/z.dat
Il télécharge ensuite les fichiers de la liste, les enregistre dans le répertoire temporaire Windows et les lance pour exécution. Au moment de l'écriture, le virus a téléchargé les fichiers à partir des liens suivants: http: //down****net/css.jpg http: //down****net/wow.jpg et les a sauvés comme montré ci-dessous: % Temp% css.jpg – ce fichier a une taille de 62 792 octets. Il sera détecté par Kaspersky Anti-Virus comme Trojan-PSW.Win32.OnLineGames.afd; % Temp% wow.jpg – ce fichier a une taille de 40 241 octets. Il sera détecté par Kaspersky Anti-Virus comme Trojan-PSW.Win32.WOW.sv. |
Lien vers l'original |
|