REPUBLIQUE ALGERIENNE DEMOCRATIQUE ET POPULAIRE
Ministere de l'Enseignememt Superieur et de la Recherche Scientifique

Général


Ressources


Avis de l'expert


WAPKAYANET

Service WAP

 Accédez à nos actualités sur votre téléphone mobile et consultez les dernières alertes de sécurité en temps réel à l'adresse :


http://www.wikayanet.dz/
wap/index.wml 



Contact
W32.Gaut.A [Symantec]


Date de découverte :7 Novembre 2008

Description:

    W32.Gaut.A est un ver qui se propage via des périphériques partagés, locaux, et amovibles. Comme il peut se propager via certaines applications de messagerie instantanée.


Type: Ver

Niveau d'alerte: 2

Système(s) Infecté(s): Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP


Description détaillée:

    Quand le ver s’exécute, il crée les fichiers suivants:
    • %SystemDrive%\autorun.ini
    • %SystemDrive%\chrome.exe
    • %Windows%\chrome.exe
    Il crée aussi le fichier suivant en l'incrémentant de sa précédente valeur:
    C:\WINDOWS\Tasks\At1.job
    Afin qu'il puisse s'exécuter à chaque démarrage de Windows, il crée l'entrée suivante dans la base de registre:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Yahoo Messengger" = "C:\WINDOWS\system32\chrome.exe"
    Puis, il modifie l'entrée suivante:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Shell" = "Explorer.exe chrome.exe"

    Ensuite, il crée, dans la base de registre les entrées suivantes:
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\WorkgroupCrawler\Shares\"shared" = "\New Folder.exe"
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NofolderOptions" = "1"
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\"DisableTaskMgr" = "1"
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\"DisableRegistryTools" = "1"
    Après, il modifie les entrées suivantes:
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\"Default_Page_URL" = "http://h1.ripway.com/poojasharma2/index.html"
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\"Default_Search_URL" = "http://h1.ripway.com/poojasharma2/index.html"
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\"Search Page" = "http://h1.ripway.com/poojasharma2/index.html"
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\"Start Page" = "http://h1.ripway.com/poojasharma2/index.html"
    • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\"Start Page" = "http://h1.ripway.com/poojasharma2/index.html"

    Le ver modifie l'entrée de la base de registre suivante en l'incrémentant de sa précédente valeur:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule\"NextAtJobId" = "2"
    Puis, le ver télécharge un fichier de configuration depuis l'URL suivante:
    [http://]h1.ripway.com
    Il enregistre le fichier dans l'emplacement suivant:
    %SystemDrive%\setting.ini
    Si le fichier ci-dessus existe déja, il le copie à l'emplacement suivant:
    %SystemDrive%\setting.ini.old
    Ce fichier est utilisé pour configurer les informations suivantes:
    • Envoi des messages Spam
    • Modifications de la base de registre
    • Mettre à jour les URLs pour le ver
    Puis, le ver tente de se copier aux périphériques locaux et amovibles, excepté le périphérique A, comme le fichier suivant:
    %DriveLetter%\New Folder.exe
    Il crée aussi le fichier suivant qui s'exécute à chaque fois qu' on accède au périphérique:
    %DriveLetter%\autorun.inf
    Il crée également le fichier suivant afin qu'une seule copie du ver puisse exister sur la machine:
    C:\disk.txt
    Il peut également énumérer et se copier à des périphériques amovibles comme le fichier suivant:
    [SHARED FOLDER]\New Folder.exe
    Le ver termine alors le processus suivant:
    game_y.exe
    Il ferme aussi toute fenêtre avec les noms suivants:
    • Bkav2006
    • System Configuration
    • Registry
    • Windows Task
    • [FireLion]
    • cmd.exe
    Puis, il cherche des applications ouvertes avec les noms suivants:
    • Google Talk
    • Yahoo! Messenger
    Après, il envoie l'un des messages spams suivants pour tout les contacts qui se trouvent dans l'application:
    • Now search your google in a HYBRID\DYNAMIC way...
    • Hey what are you doing Please test my new webcam using private application...
    • The wisest mind has something yet to learn...
    • Hey Please help me to test my new cam application...
    • ok
    • thats fine
    • Waiting for you, view my private cam via secured connection...
    • Happiness is not a destination. It is a method of life...
    • View my private cam via secured connection...
    • If you want truly to understand something, try to change it...
    • asl please
    • I am 23 Female, Delhi (India)
    • and you?
    Le message spam envoyé contient également un lien menant au ver.


Guérison:

    1. Désactiver la restauration système(Windows Me/XP).
    2. mettre à jour l'antivirus.
    3. scanner le système.
    4. supprimer toute valeur ajoutée à la base de registre.
    5. Extraire, puis restaurer les fichiers système.
    6. Restaurer les valeurs de configuration par défaut dans Internet Explorer.
    7. Remettre la page d'accueil d'Internet Explorer.







[ Retour ]

VIRUS




  © 2004 BSL, CERIST. All Rights Reserved.Charte de Vie Privée