W32/Atak-I

Veuillez suivre les instructions de suppression des vers.

W32/Atak-I est un ver de pollupostage. W32/Atak-I est un ver de pollupostage.

W32/Atak-I arrive dans un courriel avec l'un des objets suivants :

Merry X-Mas! Happy New Year!

La casse de l'objet peut être de forme différente.

Le texte du message contient une des lignes suivantes :

Happy New year and wish you good luck on next year! Merry Chrismas & Happy New Year! 2005 will be the beginning!

Le ver est inclus dans le courriel en tant que pièce jointe. Cette pièce jointe peut être le ver exécutable lui-même ou un fichier ZIP contenant l'exécutable. Le nom de l'exécutable est choisi de manière à ce que le nom principal ainsi que celui de l'extension appartiennent à l'une des catégories de la liste suivante :

PIF, COM, SCR, BAT

Si le fichier joint est un fichier ZIP, il lui est donné l'un des noms ci-dessus avec une extension ZIP.

W32/Atak-I collecte les adresses électroniques depuis des fichiers du lecteur système et depuis les lecteurs C: à Z: portant des extensions de fichier LOG, HTML, MSG, EML, MHT, DBX, ASP, PHP, JSP, HTM ou TXT.

Lorsqu'il est exécuté pour la première fois, W32/Atak-I se copie dans le dossier système Windows sous le nom de dec25.exe et, pour s'assurer d'être exécuté au démarrage du système, ajoute la ligne suivante au fichier win.ini :

run = %SYSTEM%\dec25.exe

Pour s'exécuter au démarrage du système, le ver crée aussi l'entrée de registre suivante :

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\run %SYSTEM%\dec25.exe