Classe pour les parents: VirWare
Les virus et les vers sont des programmes malveillants qui s'auto-répliquent sur des ordinateurs ou via des réseaux informatiques sans que l'utilisateur en soit conscient; chaque copie ultérieure de tels programmes malveillants est également capable de s'autoreproduire. Les programmes malveillants qui se propagent via des réseaux ou infectent des machines distantes lorsque le "propriétaire" (par exemple Backdoors) ou les programmes qui créent plusieurs copies qui ne peuvent pas s'auto-répliquer ne font pas partie de la sous-classe Virus and Worms. La caractéristique principale utilisée pour déterminer si un programme est classé comme un comportement distinct dans la sous-classe Virus and Worms est la manière dont le programme se propage (c'est-à-dire comment le programme malveillant répand des copies de lui-même via des ressources locales ou réseau). en tant que fichiers envoyés en pièces jointes, via un lien vers une ressource Web ou FTP, via un lien envoyé dans un message ICQ ou IRC, via des réseaux de partage de fichiers P2P, etc. Certains vers se propagent sous la forme de paquets réseau; ceux-ci pénètrent directement dans la mémoire de l'ordinateur et le code du ver est alors activé. Worms utilise les techniques suivantes pour pénétrer des ordinateurs distants et lancer des copies d'eux-mêmes: ingénierie sociale (par exemple, un message électronique suggérant que l'utilisateur ouvre un fichier joint), exploitation des erreurs de configuration réseau (par exemple copie sur disque entièrement accessible) failles dans la sécurité du système d'exploitation et des applications. Les virus peuvent être divisés en fonction de la méthode utilisée pour infecter un ordinateur: virus de fichiers virus du secteur de démarrage virus de script virus de virus Tous les programmes de cette sous-classe peuvent avoir des fonctions de Troie supplémentaires. Il convient également de noter que de nombreux vers utilisent plus d'une méthode pour diffuser des copies via des réseaux. Les règles de classification des objets détectés avec des fonctions multiples doivent être utilisées pour classer ces types de vers.Classe: Email-Worm
Email-Worms propagation par e-mail. Le ver envoie une copie de lui-même en pièce jointe à un message électronique ou un lien vers son fichier sur une ressource réseau (par exemple, une URL vers un fichier infecté sur un site Web compromis ou un site Web appartenant à un pirate). Dans le premier cas, le code du ver est activé lorsque la pièce jointe infectée est ouverte (lancée). Dans le second cas, le code est activé lorsque le lien vers le fichier infecté est ouvert. Dans les deux cas, le résultat est le même: le code du ver est activé. Email-Worms utilise une gamme de méthodes pour envoyer des emails infectés. Les plus courantes sont: l'utilisation d'une connexion directe à un serveur SMTP à l'aide du répertoire de messagerie intégré dans le code du ver en utilisant les services MS Outlook à l'aide des fonctions Windows MAPI. Email-Worms utilisent un certain nombre de sources différentes pour trouver les adresses email auxquelles les emails infectés seront envoyés: le carnet d'adresses dans MS Outlook une base de données d'adresses WAB .txt fichiers stockés sur le disque dur: le ver peut identifier les chaînes dans les fichiers texte Les e-mails adressent des e-mails dans la boîte de réception (certains e-mails peuvent même répondre aux e-mails trouvés dans la boîte de réception) De nombreux vers de messagerie utilisent plus d'une des sources répertoriées ci-dessus. Il existe également d'autres sources d'adresses électroniques, telles que les carnets d'adresses associés aux services de messagerie Web.Plus d'informations
Plateforme: VBS
Visual Basic Scripting Edition (VBScript) est un langage de script interprété par Windows Script Host. VBScript est largement utilisé pour créer des scripts sur les systèmes d'exploitation Microsoft Windows.Description
Détails techniques
Ce ver Internet se propage dans les messages électroniques en utilisant MS Outlook Express ainsi que le service MSMAPI. Le ver est écrit en langage Visual Basic Script (VBS).
Le ver arrive à un ordinateur sous la forme d'un message électronique au format HTML ou en tant que message texte en clair avec un fichier HTML joint. Dans le premier cas, le code de script dans le corps du message HTML s'exécute automatiquement à l'ouverture du message, et le ver prend le contrôle. Dans l'autre cas, un utilisateur doit ouvrir le fichier HTML attaché (double-cliquer dessus) pour activer le ver.
En étant activé, le ver ne commence pas à s'étendre immédiatement; mais commence à infecter un ordinateur.
Il modifie le fond d'écran du bureau avec un fichier HTML qui contient le code du ver à l'intérieur. Si le bureau a eu une image d'arrière-plan avant l'infection, cette image sera montrée comme l'arrière-plan du HTML infecté et dans la plupart des cas, il n'apparaîtra pas à l'utilisateur que le fond d'écran a été changé; ainsi, le ver gagne le contrôle chaque fois que le bureau est affiché (par exemple, au démarrage de Windows) ou rafraîchi.
De plus, le ver infecte tous les fichiers .HTT dans le sous-dossier "WEB" du dossier Windows. Windows utilise ces fichiers pour personnaliser certains dossiers dans l'Explorateur lorsque le mode Web est activé (par exemple, le dossier Program Files). L'infection de ces fichiers provoque l'exécution du code de ver chaque fois qu'un dossier spécifique est affiché.
Chaque fois que le ver prend le contrôle, il recherche les fichiers avec les extensions HTM, HTML, ASP et VBS et les infecte (insère son propre code dans ces fichiers) - un fichier à la fois. Après un certain temps, tous ces fichiers sur un ordinateur sont infectés.
Le ver modifie également les valeurs du registre MS Outlook Express pour forcer les messages créés par Outlook Express au format HTML et utilise la papeterie pour cela. De cette façon, le ver se propage dans les messages créés en utilisant Outlook Express. Chaque fois qu'Outlook Express compose un nouveau message, il utilise l'un des modèles de papier à lettres (uniquement des fichiers HTML, infectés par le ver - voir ci-dessus); de sorte que le script du ver entre automatiquement un message.
À chaque exécution, le ver incrémente un compteur dans le registre système et, lorsqu'il atteint la valeur 366, le ver exécute l'une des deux routines d'étalement.
La première routine recueille des adresses de messagerie à partir du carnet d'adresses MS Outlook et envoie des messages infectés à toutes les adresses collectées.
La deuxième routine énumère tous les messages dans le dossier Boîte de réception et, à chaque message trouvé, crée et envoie "répondre", si le sujet est "Fw:" et l'objet du message d'origine.
Les deux routines utilisent le service MSMAPI pour l'envoi de messages.
Un message infecté n'a pas de texte, mais a le fichier joint "Untitled.htm" contenant le code du ver à l'intérieur.
Si la somme du jour et du mois est 13, le ver recherche les fichiers EXE et DLL et les supprime un fichier à la fois.
En savoir plus
Découvrez les statistiques de la propagation des vulnérabilités dans votre région statistics.securelist.com