Detection added	17 Apr 2007 11:26 GMT
Description added	23 Jul 2008
Comportement	Virus

• Détails Techniques
• Action destructrice
• Conseils pour la suppression

Ce programme malicieux, un fichier windows PE EXE, infecte les fichiers exécutables Windows.

Installation

Lorsqu'il s'exécute, le virus extrait un des ses fichiers :

%WinDir%\AppPatch\deamon.dll – la taille de ce fichier est 3 072 octets
;
%WinDir%\c_126.nls - la taille de ce fichier est 31 744 octets. 

Le virus crée la clé de base de registre suivante :

qui contient un lien vers le fichier exécutable.

Le virus infecte tous les fichiers exécutables accessibles en écriture (PE-EXE) sur tous les disques de la machine victime et dans les dossiers réseaux accessibles. Le virus n'infecte pas les fichiers aux extensions suivantes :

wooolcfg.exe
woool.exe
ztconfig.exe
patchupdate.exe
trojankiller.exe
xy2player.exe
flyff.exe
xy2.exe
au_unins_web.exe
cabal.exe
cabalmain9x.exe
cabalmain.exe
meteor.exe
patcher.exe
mjonline.exe
config.exe
zuonline.exe
userpic.exe
main.exe
dk2.exe
autoupdate.exe
dbfsupdate.exe
asktao.exe
sealspeed.exe
xlqy2.exe
game.exe
wb-service.exe
nbt-dragonraja2006.exe
dragonraja.exe
mhclient-connect.exe
hs.exe
mts.exe
gc.exe
zfs.exe
neuz.exe
maplestory.exe
nsstarter.exe
nmcosrv.exe
ca.exe
nmservice.exe
kartrider.exe
audition.exe
zhengtu.exe

Lors de l'infection, le virus ajoute son fichier exécutable au début du fichier d'origine.

Afin d'infecter les fichiers localisés dans les dossiers réseaux, le virus tente de se connecter à des machines distantes à l'aide d'un compte administrateur et d'un mot de passe parmi les suivants :

zxcv
qazwsx
qaz
qwer
!@#$%^&*()
!@#$%^&*(
!@#$%^&*
!@#$%^&
!@#$%^
!@#$%
aasdf 
sdfgh
!@#$
654321
123456
12345
1234
123
111

Le virus envoie également des informations à l'auteur malicieux distant concernant l'espace libre sur le disque C, le système d'exploitation, les versions d'Internet Explorer du PC victime et les lecteurs suivants :

Hooksys
KWatch3
KregEx
KLPF
NaiAvFilter1
NAVAP
AVGNTMGR
AvgTdi
nod32drv
PavProtect
TMFilter
BDFsDrv
VETFDDNT

Ces données sont envoyées sous forme de requête au site de l'auteur malicieux distant :

http://****mrw0rldwide.com/co.asp?action=post&HD=<espace libre> &OT=<système
d'exploitation> &IV=<version Internet Explorer> &AV=<lecteurs installés>

Le virus possède une liste de fichiers à télécharger depuis le lien suivant :

Une fois les fichiers de cette liste téléchargés, il les sauvegarde dans le répertoire temporaire de Windows et les exécute.

A l'heure où nous écrivons ces lignes, le virus téléchargeait les fichiers depuis les liens suivants :

http://down****net/css.jpg
http://down****net/wow.jpg

et les sauvegarde comme indiqué ci-dessous :

%Temp%\css.jpg - la taille de ce fichier est de 62 792 octets. Il est détecté par Kaspersky Anti-Virus comme Trojan-PSW.Win32.OnLineGames.afd;

%Temp%\wow.jpg - la taille de ce fichier est de 40 241 octets. Il est détecté par Kaspersky Anti-Virus comme Trojan-PSW.Win32.WOW.sv.

Si votre ordinateur n’était pas protégé par un antivirus et est infecté par ce code malicieux, alors il est indispensable de prendre les mesures suivantes :

1. Utilisez le Gestionnaire des Tâches pour stopper l'activité malicieuse.
2. Supprimez le fichier d'origine du virus (son emplacement sur l’ordinateur infecté dépend de la façon dont il s’est infiltré sur le PC).
3. Supprimez le paramètre suivant de la base de registre.
   [HKCR\CLSID\{C111980D-B372-44b4-8095-1B6060E8C647}]
4. Supprimez les fichiers suivants :

   %WinDir%\AppPatch\deamon.dll
   %WinDir%\c_126.nls
   %Temp%\css.jpg
   %Temp%\wow.jpg

5. Supprimez toutes les copies du virus sur le disque dur :
6. Effectuez une analyse complète de l’ordinateur à l’aide de Kaspersky Anti-Virus avec les bases antivirus mises à jour. Pour télécharger une version d’essai, cliquez ici .