CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

Virus.Win32.Alman

Date de la détection 06/19/2007
Classe Virus
Plateforme Win32
Description

Le virus infecte tous les fichiers exécutables Windows accessibles en écriture (PE-EXE) sur tous les disques de l'ordinateur victime et dans les dossiers réseau accessibles. Le virus n'infecte pas les fichiers avec les noms suivants:

 wooolcfg.exe



woool.exe



ztconfig.exe



patchupdate.exe



trojankiller.exe



xy2player.exe



flyff.exe



xy2.exe



au_unins_web.exe



cabal.exe



cabalmain9x.exe



cabalmain.exe



meteor.exe



patcher.exe



mjonline.exe



config.exe



zuonline.exe



userpic.exe



main.exe



dk2.exe



autoupdate.exe



dbfsupdate.exe



asktao.exe



sealspeed.exe



xlqy2.exe



game.exe



wb-service.exe



nbt-dragonraja2006.exe



dragonraja.exe



mhclient-connect.exe



hs.exe



mts.exe



gc.exe



zfs.exe



neuz.exe



maplestory.exe



nsstarter.exe



nmcosrv.exe



ca.exe



nmservice.exe



kartrider.exe



audition.exe



zhengtu.exe 

Le virus écrit son fichier exécutable au début du fichier infecté, déplaçant vers le bas le contenu original du fichier.

Pour infecter des fichiers situés dans des dossiers réseau, le virus tente de se connecter à des ordinateurs distants à l'aide du compte Administrateur et de l'un des mots de passe suivants:

 zxcv



qazwsx



qaz



qwer



! @ # $% ^ & * ()



! @ # $% ^ & * (



! @ # $% ^ & *



! @ # $% ^ &



! @ # $% ^



! @ # $%



aasdf 



sdfgh



! @ # $



654321



123456



12345



1234



123



111 

Le virus envoie également des informations au site de l'utilisateur malveillant distant sur la quantité d'espace libre sur le disque C, le système d'exploitation et les versions d'Internet Explorer sur la machine victime et sur la présence de pilotes dans le système dont l'un des noms au dessous de:

 Hooksys



KWatch3



KregEx



KLPF



NaiAvFilter1



NAVAP



AVGNTMGR



AvgTdi



nod32drv



PavProtect



TMFilter



BDFsDrv



VETFDDNT 

Ces informations sont envoyées dans la demande suivante au site de l'utilisateur malveillant distant:

 http: //****mrw0rldwide.com/co.asp? action = post & HD = <quantité d'espace libre> & OT = <version du système d'exploitation> & IV = <version d'Internet Explorer> & AV = <pilotes installés> 

Le virus obtient également une liste de fichiers à télécharger à partir du lien suivant:

http: //****mrw0rldwide.com/z.dat

Il télécharge ensuite les fichiers de la liste, les enregistre dans le répertoire temporaire Windows et les lance pour exécution.

Au moment de l'écriture, le virus a téléchargé les fichiers à partir des liens suivants:

 http: //down****net/css.jpg



http: //down****net/wow.jpg 

et les a sauvés comme montré ci-dessous:

% Temp% css.jpg – ce fichier a une taille de 62 792 octets. Il sera détecté par Kaspersky Anti-Virus comme Trojan-PSW.Win32.OnLineGames.afd;

% Temp% wow.jpg – ce fichier a une taille de 40 241 octets. Il sera détecté par Kaspersky Anti-Virus comme Trojan-PSW.Win32.WOW.sv.


Lien vers l'original