Kaspersky Threats — DragonBall

Classe

Plateforme

Description

Détails techniques

Ce ver Internet se propage via des messages électroniques en utilisant MS Outlook et IRC, et est écrit en VBS. Le ver ne fonctionne pas correctement, car il contient quelques erreurs fatales.

Lorsque le script est exécuté, il crée des auto-copies dans les répertoires système:

C: WindowsWinsock.vbs
C: WindowsSysdir.vbs
C: WindowsSystemmillioner.vbs
C: WindowsSystemDragonBall.vbs
C: WindowsSystemDragonBall.cab

En outre, il crée trois scripts dans le répertoire IRC:

C: mIRCmirc.ini
C: mIRCscript.ini
C: mIRCupdate.ini

Les scripts IRC sont nécessaires pour la diffusion via le canal IRC. Comme les répertoires nommés "C: Windows" et "C: mIRC" enregistrent en dur dans le corps du ver, ils ne peuvent pas exécuter ces opérations si le système d'exploitation et l'IRC sont installés dans des répertoires différents.

Après cela, le ver modifie certaines clés dans le registre du système et le fichier WIN.INI. Cela crée deux clés dans le registre:

[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
"winsock2.0" = "C: Windows winsock.vbs"

[HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices]
"sysup" = "C: Windows sysdir.vbs"

et modifie la valeur des deux clés dans le fichier WIN.INI:

[les fenêtres]
load = C: WindowsSystemDragonBall.vbs
run = C: WindowsSystemmillioner.vbs

De cette façon, le ver sera toujours exécuté lorsque le système d'exploitation est démarré. En plus de cela, le ver modifie deux autres clés dans le registre du système

[HKLMSoftwareMicrosoftWindowsCurrentVersion]
"RegisteredOwner" = "Dragon Ball Z par YuP"

[HKCUSoftwareMicrosoftInternet ExplorerMain]
"Start Page" = "http://bdball.metropoli2000.net/fotos/imagenes/sagas/foto7_40.jpg"

Ensuite, le ver active une procédure de propagation, ouvrant le carnet d'adresses MS Outlook, et pour chaque adresse, en créant le message suivant:

Objet: Bonjour;]
Body: Salut, regarde ce jeu que j t'ai envoyé (jeu amusant du net:]).
Joindre: dragonball.vbs

Le ver contient des erreurs et cette procédure ne peut pas fonctionner correctement. Ainsi, le ver ne peut pas se propager par e-mail.

En conclusion, le ver affiche la boîte de dialogue suivante:

Dragon Ball Z par YuP Merci, et au revoir DragonWorld !!! [ D'ACCORD ]

Lorsqu'un utilisateur ferme cette boîte, le ver supprime les fonctions du clavier et de la souris et exécute MediaPlayer avec un fichier provenant d'Internet:

http://bdball.metropoli2000.net/mmedia/videos/clips/dballz/gokuhss1.mpg

et change AUTOEXEC.BAT, en insérant les chaînes:

@ECHO ON
ECHO DraGon Ball [Z] par YuP
ECHO Merci et au revoir au monde des dragons !!

Lien vers l'original

Découvrez les statistiques de la propagation des menaces dans votre région

Classe	Email-Worm
Plateforme	VBS
Description	Détails techniques Ce ver Internet se propage via des messages électroniques en utilisant MS Outlook et IRC, et est écrit en VBS. Le ver ne fonctionne pas correctement, car il contient quelques erreurs fatales. Lorsque le script est exécuté, il crée des auto-copies dans les répertoires système: C: WindowsWinsock.vbs C: WindowsSysdir.vbs C: WindowsSystemmillioner.vbs C: WindowsSystemDragonBall.vbs C: WindowsSystemDragonBall.cab En outre, il crée trois scripts dans le répertoire IRC: C: mIRCmirc.ini C: mIRCscript.ini C: mIRCupdate.ini Les scripts IRC sont nécessaires pour la diffusion via le canal IRC. Comme les répertoires nommés "C: Windows" et "C: mIRC" enregistrent en dur dans le corps du ver, ils ne peuvent pas exécuter ces opérations si le système d'exploitation et l'IRC sont installés dans des répertoires différents. Après cela, le ver modifie certaines clés dans le registre du système et le fichier WIN.INI. Cela crée deux clés dans le registre: [HKLMSoftwareMicrosoftWindowsCurrentVersionRun] "winsock2.0" = "C: Windows winsock.vbs" [HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices] "sysup" = "C: Windows sysdir.vbs" et modifie la valeur des deux clés dans le fichier WIN.INI: [les fenêtres] load = C: WindowsSystemDragonBall.vbs run = C: WindowsSystemmillioner.vbs De cette façon, le ver sera toujours exécuté lorsque le système d'exploitation est démarré. En plus de cela, le ver modifie deux autres clés dans le registre du système [HKLMSoftwareMicrosoftWindowsCurrentVersion] "RegisteredOwner" = "Dragon Ball Z par YuP" [HKCUSoftwareMicrosoftInternet ExplorerMain] "Start Page" = "http://bdball.metropoli2000.net/fotos/imagenes/sagas/foto7_40.jpg" Ensuite, le ver active une procédure de propagation, ouvrant le carnet d'adresses MS Outlook, et pour chaque adresse, en créant le message suivant: Objet: Bonjour;] Body: Salut, regarde ce jeu que j t'ai envoyé (jeu amusant du net:]). Joindre: dragonball.vbs Le ver contient des erreurs et cette procédure ne peut pas fonctionner correctement. Ainsi, le ver ne peut pas se propager par e-mail. En conclusion, le ver affiche la boîte de dialogue suivante: Lorsqu'un utilisateur ferme cette boîte, le ver supprime les fonctions du clavier et de la souris et exécute MediaPlayer avec un fichier provenant d'Internet: http://bdball.metropoli2000.net/mmedia/videos/clips/dballz/gokuhss1.mpg et change AUTOEXEC.BAT, en insérant les chaînes: @ECHO ON ECHO DraGon Ball [Z] par YuP ECHO Merci et au revoir au monde des dragons !!
	Lien vers l'original
	Découvrez les statistiques de la propagation des menaces dans votre région

Email-Worm.VBS.DragonBall

Détails techniques