W32/Toal-A

Veuillez suivre les instructions de désinfection des exécutables PE.

W32/Toal-A est un virus de messagerie qui arrive dans la pièce jointe nommée :

BinLaden_Brasil.exe.

L'objet du mail a un rapport avec le conflit en Afghanistan. Il est sélectionné de façon aléatoire parmi la liste qui suit :

Bin laden toillete paper !!
Sadam hussein & binladen in love
Bush fucks bin laden hardly <:p
Is osama bin laden bad-loved ?
Usa against geneva convention ?
Anthrax mail is true(not a joke)
Biological weapons: preventing !
Fucking a mullah in islamabad
O papel higienico do bin laden !
Sadam e binladen apaixonados
Bush fudendo bin laden<:p
Sers que o osama s mal-amado ?
Eua agride convencao de genova ?
Antraz pelo correio (verdade)
Armas biologicas: previna-se !
Fudendo um muls em islamabad
Bin landen toalettpapper
Sadam hussein & binladen fr fRflskade
Bush knullar bin laden hxrt <:p
Fr osama bin laden inte flskad ?
R usa emot geneve Verenskommelsen ?
Anthrax brevet existerar(det fr inget s
Biologiska vapen: fRhindra !
Knulla en muslim i islamabad
Papier toillette bin laden
Sadam & binladen en amour
Bush nique r donf bin laden <:p
Osama bin laden mal aims ?
Usa contre la convention de geneve?
Le courrier anthrax existe vraiment
Arme biologique: prsventions!
Baiser un mullah r islamabad
Xarti toualetas bin landen !!
Hussein & bin laden, erastes
O bush gamaei agria ton bin laden
Einai o osama apotuximenos ston erwta?
Amerikh enantia sto synedrio tis genova H epistoles me antraka,einai gegonos
Biologika wpla: prostasia !
Gamontas ena moula sto islamabad

La page du message elle-même est blanche.

L'en-tête MIME du mail a été codé pour exploiter une faille d'Internet Explorer 5.01/5.5 (dont ne souffre pas la version 5.01 du Service Pack 2). Cette faille permet que la pièce jointe s'exécute automatiquement orsque le mail est visualisé. Microsoft a publié un patch à appliquer contre cette faille, qui est disponible à l'adresse http://www.microsoft.com/technet/security/bulletin/MS01-027.asp.
(Ce correctif résout un nombre de failles dans le logiciel de Microsoft, incluant celle exploitée par ce ver.)

Si la pièce jointe est exécutée, elle place le fichier INVICTUS.DLL dans le répertoire System de Windows et le virus dans le répertoire Windows, en utilisant un nom de 3 lettres composé de lettres capitales comprises entre A et O. Le virus peut aussi placer sa réplique dans le répertoire C:\. Les copies du virus auront leurs attributs réglés sur fichier caché et lecture seule.

Lors de sa première exécution, le virus ajoute son chemin d'accès à la ligne "shell=" de la section [Boot] de \System.ini (cette ligne est normalement paramétrée en shell=explorer.exe sous Win9x). Ceci provoque l'exécution automatique du virus à chaque redémarrage de la machine.

Le virus partage le lecteur C: en configurant différentes sous-clés de :

HKLM\Software\Microsoft\Windows\
CurrentVersion\Network\LanMan\BinLaden\

Le virus infectera les fichiers HH.EXE et Explorer.exe (tous deux situés dans le répertoire Windows) et peut infecter d'autres fichiers. Il cible en particulier Netstat.exe et Calc.exe. le virus s'exécutera à chaque fois que vous lancez l'explorateur Windows.

Le virus recherche les éventuels scanners antivirus actifs et essaie de les arrêter. Les scanners affectés sont ceux de Kaspersky Labs, Network Associates et Symantec. Le virus tente aussi de d'achever les processus nommés Zone Alarm, Freedom et Avconsol s'ils sont en cours d'exécution.

Lors de rares occasions, le virus activera une cahrge visuelle. De divers slogans colorés seront affichés sur le bureau, avec une boîte de message. La boîte de message est titré 'Worm/I-Worm/W32.BinLaden' et contient le texte suivant :

Le virus est susceptible d'exécuter sa charge visuelle 1 fois sur 159 exécutions. Différents slogans bariolés s'affichent sur le bureau, avec une boîte de message qui affiche le texte : "Worm/I-Worm/W32.BinLaden", "Bush, you need more hashish in you life".

Bush, you need more hashish in your life
Why to take the Amazon from brazil. if you like polution ?
Brazilian ppl wants the USA destruction, not likeour president, smelling Bush's balls
You are not the cops of the world, and World Trade Center was the first
Now you take the freedom from your own people, and the world is laughing ...
Ohhhh is this the famous American Way of Life ? HAHAHAHA !!!

BUGS EVERYWHERE

You kill more people per day than AIDS, giving money and arms to other countries
Now you are feeling the taste of your own poison...

Ohhhhhh i am sorry.. It isn't sweet ?

LLe virus tente de se connecter à un site ICQ distant et de télécharger des informations sur d'autres utilisateurs. Pour cela, il recherche dans les "pages blanches" (pages affichant des informations sur différents sujets et personnes) une liste de mots-clé parmi lesquels : "history", "friends", "airplane", "ferrari", "orgasm", "friendship", et "sports".

Le virus s'expédiera alors de lui-même aux adresses électroniques qu'il trouve dans ces pages.

Le processus du virus s'achève normalement après 5-10 minutes mais peut également être arrête au moyen du Gestionnaire de tâches (le processus du virus s'exécute toujours à partir du répertoire Temp de Windows en utilisant un nom commençant par "sfc").