Win32:Kapucen-B

Win32:Kapucen est un ver qui se propage par les réseaux P2P. Il est aussi connu sous les noms de Win32/Puce ou W32.ECup

Description :

Win32Kapucen-B se copie en %Temp dir%\svchost.exe et rajoute dans le Registre la clé suivante:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WindowsServicesStartup"%Temp dir%\svchost.exe 1"

Cette clé assure son lancement à chaque démarrage du système.

Win32Kapucen-B recherche ensuite sur les disques C, D et E les dossiers :

• \Program files\emule\incoming
• \Download
• \T chargement
• \Incoming
• \Archivos de programa\emule\incoming
• \Program Files\Kazaa Lite K++\My Shared Folder
• \Program files\KMD\My Shared Folder
• \Program files\KaZaA Lite\My Shared Folder
• \Program files\Morpheus\My Shared Folder
• \Program files\BearShare\Shared
• \Program files\Edonkey2000\Incoming
• \My Downloads
• \My Shared Folder
• \Program files\appleJuice\incoming
• \Program files\Gnucleus\Downloads
• \Program files\Grokster\My Grokster
• \Program files\ICQ\shared files
• \Program files\KaZaA\My Shared Folder
• \Program files\LimeWire\Shared
• \Program files\Overnet\incoming
• \Program files\Shareaza\Downloads
• \Program files\Swaptor\Download
• \Program files\WinMX\My Shared Folder
• \Program files\Tesla\Files
• \Program files\XoloX\Downloads
• \Program files\Rapigator\Share
  

et sur les disques F et G le dossier :

• \Incoming
  

et s´y copie comme une archive ZIP ou RAR de nom :

• Setup.exe
• Install.exe
• _Run_Me_First.exe
  

Cette archive peut aussi être copiée dans un dossier différent sous le nom de:

• "<nom du archive> updated-fixed [numéro de mois]-[jour].zip"
• "<nom du archive> updated-fixed [numéro de mois]-[jour].rar"
  

ou aussi le fichier « log.txt » sera créé, contenant le texte suivant :

PRE-INSTALL v1.07
(C) pUcE Software 2006
Pre-install has checked your config.
Everything is ok, you can now run the setup program
Enjoy!

Suppression

Avast !, avec le fichier fichier VPS du 16 Juillet ou plus récent est capable de détecter ce ver.