CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

Email-Worm.VBS.HappyTime

Classe Email-Worm
Plateforme VBS
Description

Détails techniques

Ce ver Internet se propage dans les messages électroniques en utilisant MS Outlook Express ainsi que le service MSMAPI. Le ver est écrit en langage Visual Basic Script (VBS).

Le ver arrive à un ordinateur sous la forme d'un message électronique au format HTML ou en tant que message texte en clair avec un fichier HTML joint. Dans le premier cas, le code de script dans le corps du message HTML s'exécute automatiquement à l'ouverture du message, et le ver prend le contrôle. Dans l'autre cas, un utilisateur doit ouvrir le fichier HTML attaché (double-cliquer dessus) pour activer le ver.

En étant activé, le ver ne commence pas à s'étendre immédiatement; mais commence à infecter un ordinateur.

Il modifie le fond d'écran du bureau avec un fichier HTML qui contient le code du ver à l'intérieur. Si le bureau a eu une image d'arrière-plan avant l'infection, cette image sera montrée comme l'arrière-plan du HTML infecté et dans la plupart des cas, il n'apparaîtra pas à l'utilisateur que le fond d'écran a été changé; ainsi, le ver gagne le contrôle chaque fois que le bureau est affiché (par exemple, au démarrage de Windows) ou rafraîchi.

De plus, le ver infecte tous les fichiers .HTT dans le sous-dossier "WEB" du dossier Windows. Windows utilise ces fichiers pour personnaliser certains dossiers dans l'Explorateur lorsque le mode Web est activé (par exemple, le dossier Program Files). L'infection de ces fichiers provoque l'exécution du code de ver chaque fois qu'un dossier spécifique est affiché.

Chaque fois que le ver prend le contrôle, il recherche les fichiers avec les extensions HTM, HTML, ASP et VBS et les infecte (insère son propre code dans ces fichiers) – un fichier à la fois. Après un certain temps, tous ces fichiers sur un ordinateur sont infectés.

Le ver modifie également les valeurs du registre MS Outlook Express pour forcer les messages créés par Outlook Express au format HTML et utilise la papeterie pour cela. De cette façon, le ver se propage dans les messages créés en utilisant Outlook Express. Chaque fois qu'Outlook Express compose un nouveau message, il utilise l'un des modèles de papier à lettres (uniquement des fichiers HTML, infectés par le ver – voir ci-dessus); de sorte que le script du ver entre automatiquement un message.

À chaque exécution, le ver incrémente un compteur dans le registre système et, lorsqu'il atteint la valeur 366, le ver exécute l'une des deux routines d'étalement.

La première routine recueille des adresses de messagerie à partir du carnet d'adresses MS Outlook et envoie des messages infectés à toutes les adresses collectées.

La deuxième routine énumère tous les messages dans le dossier Boîte de réception et, à chaque message trouvé, crée et envoie "répondre", si le sujet est "Fw:" et l'objet du message d'origine.

Les deux routines utilisent le service MSMAPI pour l'envoi de messages.

Un message infecté n'a pas de texte, mais a le fichier joint "Untitled.htm" contenant le code du ver à l'intérieur.

Si la somme du jour et du mois est 13, le ver recherche les fichiers EXE et DLL et les supprime un fichier à la fois.


Lien vers l'original