Searching
..

Click anywhere to stop

CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

Email-Worm.VBS.DragonBall

Classe Email-Worm
Plateforme VBS
Description

Détails techniques

Ce ver Internet se propage via des messages électroniques en utilisant MS Outlook et IRC, et est écrit en VBS. Le ver ne fonctionne pas correctement, car il contient quelques erreurs fatales.

Lorsque le script est exécuté, il crée des auto-copies dans les répertoires système:

C: WindowsWinsock.vbs
C: WindowsSysdir.vbs
C: WindowsSystemmillioner.vbs
C: WindowsSystemDragonBall.vbs
C: WindowsSystemDragonBall.cab

En outre, il crée trois scripts dans le répertoire IRC:

C: mIRCmirc.ini
C: mIRCscript.ini
C: mIRCupdate.ini

Les scripts IRC sont nécessaires pour la diffusion via le canal IRC. Comme les répertoires nommés "C: Windows" et "C: mIRC" enregistrent en dur dans le corps du ver, ils ne peuvent pas exécuter ces opérations si le système d'exploitation et l'IRC sont installés dans des répertoires différents.

Après cela, le ver modifie certaines clés dans le registre du système et le fichier WIN.INI. Cela crée deux clés dans le registre:

[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
"winsock2.0" = "C: Windows winsock.vbs"

[HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices]
"sysup" = "C: Windows sysdir.vbs"

et modifie la valeur des deux clés dans le fichier WIN.INI:

[les fenêtres]
load = C: WindowsSystemDragonBall.vbs
run = C: WindowsSystemmillioner.vbs

De cette façon, le ver sera toujours exécuté lorsque le système d'exploitation est démarré. En plus de cela, le ver modifie deux autres clés dans le registre du système

[HKLMSoftwareMicrosoftWindowsCurrentVersion]
"RegisteredOwner" = "Dragon Ball Z par YuP"

[HKCUSoftwareMicrosoftInternet ExplorerMain]
"Start Page" = "http://bdball.metropoli2000.net/fotos/imagenes/sagas/foto7_40.jpg"

Ensuite, le ver active une procédure de propagation, ouvrant le carnet d'adresses MS Outlook, et pour chaque adresse, en créant le message suivant:

Objet: Bonjour;]
Body: Salut, regarde ce jeu que j t'ai envoyé (jeu amusant du net:]).
Joindre: dragonball.vbs

Le ver contient des erreurs et cette procédure ne peut pas fonctionner correctement. Ainsi, le ver ne peut pas se propager par e-mail.

En conclusion, le ver affiche la boîte de dialogue suivante:

Dragon Ball Z par YuP Merci, et au revoir DragonWorld !!! [ D'ACCORD ]

Lorsqu'un utilisateur ferme cette boîte, le ver supprime les fonctions du clavier et de la souris et exécute MediaPlayer avec un fichier provenant d'Internet:

http://bdball.metropoli2000.net/mmedia/videos/clips/dballz/gokuhss1.mpg

et change AUTOEXEC.BAT, en insérant les chaînes:

@ECHO ON
ECHO DraGon Ball [Z] par YuP
ECHO Merci et au revoir au monde des dragons !!


Lien vers l'original
Découvrez les statistiques de la propagation des menaces dans votre région