Warning Kazaa

[ZeMage]

C'est bien connu, les cr?ateurs de virus ont tr?s souvent utilis? la th?matique du "sexe" afin de propager leurs codes hostiles. Pas besoin de chercher bien loin pour trouver des exemples flagrants de cet usage : le c?l?brissime "Anna Kournikova" se faisait passer pour des photos de la championne de tennis; "Love Letter" tentait de vous faire croire qu'un/une ami ou coll?gue avait jet? son d?volu sur vous ; etc.

Malgr? le succ?s ind?niable de cette technique, le ou les auteurs du virus Surnova ont d?cid? de tenter une nouvelle exp?rience. Tout en utilisant la technique ?prouv?e du sexe (le virus se fait passer pour un film ?rotique mettant en sc?ne Britney Spears, Christina Aguilera ou encore Jennifer lopez), Surnova essaye aussi d'attirer dans sa toile, les fans de jeux vid?o.

Surnova pourra donc prendre, entre autres, les noms suivants :

* XBOX emulator (WORKS!!).exe
* Gamecube Emulator (WORKS!!).exe

Les fans de jeux sur console pourraient donc ?tre tent?s d'ex?cuter ces fichiers, dans le vain espoir de transformer leur bon vieux PC en une console XBOX (Microsoft) ou Gamecube (Nitendo).

Mais Surnova ne s'arr?te pas l?, il est aussi capable de faire croire ? une victime qu'il n'est autre qu'un g?n?rateur de cl?s pour des jeux tels que Warcraft 3, Half-Life, Quake 4 etc. Il peut aussi prendre l'apparence de codecs pour DivX.

Voici quelques informations qui peuvent ?tre utiles afin d'?viter les pi?ges tendus par Surnova :

Le ver se propage en utilisant le logiciel d'?change de fichiers, Kazaa, ou le programme de messagerie instantan?e MSN. Il se copie ensuite dans le dossier Windows en prenant l'un des noms suivants :

Alles-ist-vorbei.exe
Desktop-shooting.exe
Hello-Kitty.exe
BigMac.exe
Cheese-Burger.exe
Blaargh.exe

Une nouvelle entr?e (HKLM\Software\Microsoft\Windows\CurrentVersion\Ru n\Supernova ) est ajout?e ? la base de registre afin que le fichier d?crit ci-dessus soit ex?cut? automatiquement au d?marrage de Windows.

Lors de sa premi?re ex?cution, le ver provoque l'affichage du faux message d'erreur suivant :

"Application attempted to read memory at 0xFFFFFFFFh Terminating application"

Puis, Surnova cherche dans la base de registre, un dossier partag? sur Kazaa. La cl? suivante est interrog?e :

HKLM\Software\KaZaA\LocalContent

Si aucun dossier n'est trouv?, le virus cr?e trente huit copies de lui-m?me dans le dossier C:\\Media. Les noms suivants seront utilis?s (typiquement le type de fichiers pouvant ?tre r?ellement trouv?s sur Kazaa) :

Windows XP key generator.exe
Windows XP serial generator.exe
Key generator for all windows XP versions.exe
Warcraft 3 ONLINE key generator.exe
Half-life ONLINE key generator.exe
Quake 4 BETA.exe
Grand theft auto 3 CD1 crack.exe
GTA3 crack.exe
Battle.net key generator (WORKS!!).exe
Warcraft 3 battle.net serial generator.exe
Half-life WON key generator.exe
Star wars episode 2 downloader.exe
Winzip 8.0 + serial.exe
Winrar + crack.exe
Britney spears nude.exe
Macromedia MX key generator (all products).exe
KaZaA media desktop v2.0 UNOFFICIAL.exe
Microsoft key generator, works for ALL microsoft products!!.exe
Microsoft Windows XP crack pack.exe
Hack into any computer!!.exe
DivX codec v6.0.exe
DivX newest version.exe
DivX.exe
DivX pro key generator.exe
Key generator for over 1,000 applications (really!).exe
DivX patch - Increases quality.exe
KaZaA spyware remover.exe
Age of empires 2 crack.exe
Norton antivirus 2002.exe
Macromedia Dreamweaver MX Key Generator.exe
Macromedia Flash MX Key Generator.exe
Neverwinter nights crack.exe
Microsoft Office XP (english) key generator.exe
Microsoft Office XP.iso.exe
CloneCD + crack.exe
CloneCD all-versions key generator.exe
XBOX emulator (WORKS!!).exe
Gamecube Emulator (WORKS!!).exe
Xbox.info.exe

De plus, Surnova essaiera aussi de s'envoyer ? la liste des contacts de Messenger. Le ver arrivera avec un des messages suivants :

Hehe, check this out :-)
Funny, check it out (h)
LOL!! See this
LOL!! Check this out
Hehe, this is fun :-)

Un fichier texte au nom compos?s de chiffres al?atoires sera aussi cr?? dans Windows, avec le contenu suivant :

W32.Supernova - Ban religion
Patch the leaks or the ship will sink

[Slider]

thx mon mage de te soucier de notre chastet?