CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

Email-Worm.VBS.Challenge

Classe Email-Worm
Plateforme VBS
Description

Détails techniques

Ce ver se propage à l'aide de MS Outlook Express 5. Il s'ajoute à chaque message envoyé à partir d'un ordinateur infecté. Le ver ne s'attache pas aux messages comme le font les vers ordinaires, mais incorpore plutôt son corps dans un message en tant que programme de script dans le langage Visual Basic Script. Lorsqu'un message infecté est ouvert sur l'ordinateur d'une victime, ce programme n'apparaît pas à l'écran, mais prend le contrôle et infecte le système.

Pour percer la sécurité MS Outlook Express, le ver profite d'une faille de sécurité qui autorise le code de script dans l'accès aux messages électroniques basé sur HTML pour les contrôles ActiveX qui ne devraient pas être disponibles dans ce contexte. Microsoft a publié un correctif qui élimine cette vulnérabilité de sécurité. Voir http://www.microsoft.com/technet/securThisy/bulletin/MS00-075.asp pour plus d'informations. Nous recommandons fortement à l'utilisateur d'installer le correctif disponible à cet endroit, en le protégeant contre de nombreux vers qui utilisent cette vulnérabilité.

Le ver infecte l'ordinateur en deux étapes:

La première étape consiste à afficher un message infecté et à prendre le contrôle d'un programme de script intégré. Cela crée un fichier TEMP.HTA avec la copie du ver dans un dossier de démarrage Windows. (Ce ver est plus précis dans la recherche d'un dossier de démarrage de Windows.Sa méthode fonctionne dans toutes les versions de Windows, distinctes dans I-Worm.KakWorm).

La deuxième étape, puisque le fichier TEMP.HTA est placé dans le dossier de démarrage de Windows, est que Windows l'exécute au démarrage. Le script de ce fichier est créé dans le fichier de dossiers système Windows FOLDER.HTML avec le même script que dans le message infecté, puis enregistre ce fichier en tant que fichier de signature par défaut pour MS Outlook Express 5. A partir de ce moment, tous les messages envoyés d'un ordinateur contiennent une signature avec le corps du ver, c'est-à-dire infecté.


Lien vers l'original