CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

Email-Worm.HTML.Jer

Classe Email-Worm
Plateforme HTML
Description

Détails techniques

C'est un ver Internet qui se propage à travers les canaux IRC et a également l'intention de se propager via e-mail, mais échoue en raison de bugs dans son code.

Installation

Le ver a été placé par son auteur sur une page du site www.geocities.com. La page a le titre:

"<< LES FEMMES DE 40 VOIES SONT ÉCHOUÉES DANS LE LIT".

Le 2 juillet 2000, les informations sur cette page ont été annoncées aux canaux IRC et il y a eu plus de 1000 visites sur cette page le premier jour. Heureusement, le ver avait un bug dans sa routine d'infection par e-mail, et il ne s'est pas propagé trop loin.

Le ver "Jer" utilise un moyen primitif mais très efficace de pénétrer dans les ordinateurs. Un site Web contient un programme de script (le ver lui-même), qui est automatiquement exécuté après qu'un utilisateur ouvre une page HTML infectée. Un utilisateur reçoit ensuite un avertissement du système, qu'il accepte ou non ce script inconnu. Cette méthode exploite ce que l'on appelle les "violations d'esprit": pour éviter ce message ennuyeux, un utilisateur répondra "oui". Juste après ce moment, le ver sera transmis à l'ordinateur.

La page HTML infectée contient le script VBS dans son corps. En ouvrant cette page, le script est automatiquement exécuté et le ver prend le contrôle. Il crée une copie de la page HTML infectée dans le répertoire système Windows avec le nom JER.HTM et l'enregistre dans le registre système dans la section autostart:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunGinSenG = "JER.HTM"

Par conséquent, le ver sera automatiquement exécuté à chaque démarrage de Windows.

Diffusion

Le ver va alors dans le répertoire C: MIRC et (si un tel répertoire existe) crée un fichier "SCRIPT.INI" qui contient les commandes pour le client mIRC. Le ver écrit dans ce fichier un ensemble de commandes pour envoyer un fichier JER.HTM infecté à chaque ordinateur qui se connecte au même canal que l'ordinateur infecté. En outre, ce script fournit l'accès au disque local de l'ordinateur infecté à l'utilisateur IRC qui a tapé un mot-clé de script spécifié.

Charge utile

Le ver apporte quelques changements supplémentaires dans le registre du système:

  • Désactive le bureau
  • Désactive la boîte de dialogue "Rechercher"
  • Désactive la boîte de dialogue des propriétés du réseau
  • Supprime "Arrêter" du menu "Démarrer"

Le ver modifie également les informations d'enregistrement Windows:

Propriétaire: Je t'aime, Min
Organisation: GinsengBoy- 2000

Suppression

Pour restaurer les paramètres système, les valeurs de registre d'origine doivent être restaurées.

REMARQUE: il est recommandé que seuls les utilisateurs expérimentés corrigent les clés de Registre à l'aide de l'Éditeur du Registre. Un accès incorrect peut provoquer des problèmes sérieux pouvant vous obliger à réinstaller Windows. Pour plus d'informations sur la modification du Registre, consultez la rubrique d'aide en ligne Modification des clés et des valeurs dans l'Éditeur du Registre (REGEDIT.EXE).

Les clés suivantes doivent être supprimées du registre:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunGinSenG

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoDesktop

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoFind

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesNetworkNoNetSetup

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNonClose

Les clés suivantes doivent être changées en valeurs correctes:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionVersion – Version Windows (par exemple "Windows 98").

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRegisteredOwner – Nom d'utilisateur (Windows enregistré sur)

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRegisteredOrganization – Nom de l'organisation (Windows enregistré dans)


Lien vers l'original