CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

Email-Worm.JS.Gigger

Classe Email-Worm
Plateforme JS
Description

Détails techniques

C'est un ver dangereux. Il réplique en utilisant Outlook, Outlook Express et mIRC. Le ver est écrit en JavaScript et Visual Basic Script (VBS). Il contient des routines de charge utile destructrices capables de formater le disque dur de l'utilisateur après le redémarrage, et peut supprimer tous les fichiers sur tous les disques disponibles.

Installation

Lors de l'installation dans le système, le ver crée plusieurs fichiers:

C: Bla.hta
C: B.htm
C: WindowsSamplesWshCharts.js
C: WindowsHelpMmsn_offline.htm

Ensuite, le ver trouve son signe "déjà infecté" dans le registre, et s'il n'existe pas, le ver le crée.

Le signe de présence d'infection se trouve dans la clé de registre suivante:

HKEY_CURRENT_USERSoftwarethegravebadusersv2.0

Le ver trouve tous les lecteurs réseau connectés et se copie eux-mêmes à l'emplacement suivant:

WindowsStart MenuProgramsStartUpMsoe.hta

Diffusion par e-mail

Le ver utilise Outlook et Outlook Express pour se propager dans les messages électroniques infectés.

Le message infecté contient les propriétés suivantes:

Objet : Mise à jour d'Outlook Express
Corps : MSNSoftware Co.
Pièce jointe : mmsn_offline.htm

Le ver envoie également un message contenant les adresses e-mail de ses destinataires à une adresse e-mail qui semble appartenir à l'auteur du ver.

Diffusion via IRC

Le ver trouve le dossier d'installation d'une application cliente mIRC et y crée le nom de fichier "script.ini". Après cela, le ver s'envoie à chaque utilisateur qui rejoint le même canal IRC où se trouve l'utilisateur infecté.

Nom de fichier envoyé via mIRC: "mmsn_offline.htm"

Charge utile

Le ver ajoute la ligne suivante dans le fichier Autoexec.bat:

ECHO y | format c:

Cela entraîne le formatage du disque C: lors du redémarrage de l'ordinateur.

Si le jour du mois est le 1er, le 5, le 10, le 15 ou le 20, le ver supprime tous les fichiers de tous les lecteurs.


Lien vers l'original