CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.
Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.
Classe | Email-Worm |
Plateforme | VBS |
Description |
Détails techniquesC'est un ver Internet qui se propage comme un fichier VBS attaché à des messages électroniques. Pour envoyer des messages infectés, le ver utilise MS Outlook. Le ver est également capable d'envoyer ses copies aux canaux IRC en infectant un client mIRC. Lorsque le fichier ver est activé (en double-cliquant sur le fichier joint dans les messages infectés, ou en étant accepté comme téléchargement IRC), il s'installe dans le système en copiant son code dans le répertoire Windows avec le nom RUNDLL32.VBS et en l'enregistrant dans la section d'exécution automatique du registre Windows:
Par conséquent, le ver s'active à chaque démarrage de Windows. E-mailsLors de l'envoi de ses copies, le ver se connecte à MS Outlook, accède au carnet d'adresses et envoie ses copies à toutes les adresses répertoriées. Selon la configuration du système, le message a un objet et un corps différents. Sous la version Windows allemande, le message apparaît comme suit:
Sous Windows non allemand:
Le nom de fichier joint est sélectionné au hasard parmi huit variantes:
Une copie du ver avec le même nom (sélectionné aléatoirement) est également créée dans le répertoire Windows (exactement cette copie est attachée aux messages infectés). Infection IRCPour se propager aux canaux IRC, le ver crée un fichier système SCRIPT.INI mIRC dans le répertoire mIRC (s'il est installé). Le ver recherche un répertoire C: MIRC ainsi qu'un répertoire MIRC dans "Program Files". Si mIRC est installé, le ver dépose un nouveau fichier SCRIPT.INI à cet emplacement. Ce fichier contient un ensemble d'instructions qui envoie le fichier ver à tous ceux qui entrent dans un canal infecté. Le script mIRC aussi:
Routine de charge utileLa routine de charge utile est activée le 20 juin. Il affiche le message suivant:
et désactive le clavier et la souris en modifiant les deux clés de registre système suivantes:
DiversLe ver modifie également le champ "Registered Owner" dans "MyComputer / Properties", la nouvelle valeur est "FireburN". Cela est effectué en modifiant la clé de Registre suivante:
Le code du ver contient également le texte "copyright":
|
Lien vers l'original |
|
Découvrez les statistiques de la propagation des menaces dans votre région |