Searching
..

Click anywhere to stop

CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

Virus.Win32.Alman

Date de la détection 06/19/2007
Classe Virus
Plateforme Win32
Description

Le virus infecte tous les fichiers exécutables Windows accessibles en écriture (PE-EXE) sur tous les disques de l'ordinateur victime et dans les dossiers réseau accessibles. Le virus n'infecte pas les fichiers avec les noms suivants:

 wooolcfg.exewoool.exeztconfig.exepatchupdate.exetrojankiller.exexy2player.exeflyff.exexy2.exeau_unins_web.execabal.execabalmain9x.execabalmain.exemeteor.exepatcher.exemjonline.execonfig.exezuonline.exeuserpic.exemain.exedk2.exeautoupdate.exedbfsupdate.exeasktao.exesealspeed.exexlqy2.exegame.exewb-service.exenbt-dragonraja2006.exedragonraja.exemhclient-connect.exehs.exemts.exegc.exezfs.exeneuz.exemaplestory.exensstarter.exenmcosrv.execa.exenmservice.exekartrider.exeaudition.exezhengtu.exe 

Le virus écrit son fichier exécutable au début du fichier infecté, déplaçant vers le bas le contenu original du fichier.

Pour infecter des fichiers situés dans des dossiers réseau, le virus tente de se connecter à des ordinateurs distants à l'aide du compte Administrateur et de l'un des mots de passe suivants:

 zxcvqazwsxqazqwer! @ # $% ^ & * ()! @ # $% ^ & * (! @ # $% ^ & *! @ # $% ^ &! @ # $% ^! @ # $%aasdf sdfgh! @ # $654321123456123451234123111 

Le virus envoie également des informations au site de l'utilisateur malveillant distant sur la quantité d'espace libre sur le disque C, le système d'exploitation et les versions d'Internet Explorer sur la machine victime et sur la présence de pilotes dans le système dont l'un des noms au dessous de:

 HooksysKWatch3KregExKLPFNaiAvFilter1NAVAPAVGNTMGRAvgTdinod32drvPavProtectTMFilterBDFsDrvVETFDDNT 

Ces informations sont envoyées dans la demande suivante au site de l'utilisateur malveillant distant:

 http: //****mrw0rldwide.com/co.asp? action = post & HD = <quantité d'espace libre> & OT = <version du système d'exploitation> & IV = <version d'Internet Explorer> & AV = <pilotes installés> 

Le virus obtient également une liste de fichiers à télécharger à partir du lien suivant:

http: //****mrw0rldwide.com/z.dat

Il télécharge ensuite les fichiers de la liste, les enregistre dans le répertoire temporaire Windows et les lance pour exécution.

Au moment de l'écriture, le virus a téléchargé les fichiers à partir des liens suivants:

 http: //down****net/css.jpghttp: //down****net/wow.jpg 

et les a sauvés comme montré ci-dessous:

% Temp% css.jpg – ce fichier a une taille de 62 792 octets. Il sera détecté par Kaspersky Anti-Virus comme Trojan-PSW.Win32.OnLineGames.afd;

% Temp% wow.jpg – ce fichier a une taille de 40 241 octets. Il sera détecté par Kaspersky Anti-Virus comme Trojan-PSW.Win32.WOW.sv.


Lien vers l'original
Découvrez les statistiques de la propagation des menaces dans votre région