CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

Email-Worm.VBS.Horillka

Classe Email-Worm
Plateforme VBS
Description

Détails techniques

Ce ver malveillant se propage via Internet sous la forme d'un fichier attaché à des messages infectés. C'est un script VBS encodé de 25562 octets.

Une fois téléchargé, Horilka se décrypte.

Il se copie dans le répertoire système Windows sous le nom WinSys32dll.vbs et enregistre ce fichier dans la clé d'exécution automatique du registre du système.

 HKLMSoftwareMicrosoftWindowsCurrentVersionRunWinSys32dll. 

La masse de virus envoie toutes les adresses trouvées dans le carnet d'adresses Microsoft Outlook.

Caractéristiques des messages infectés:

Entête de message:

 ��������! 

Corps du message:

 ����� ����� vbs ���������� ��� ������ ������� � �� Windows !
 ��� �������� �������� � ��������, �������������� �� ����� .
 ������������ ������ ������� ������-�����, ��� ������� � ������������� 
vb � js ������, ������ ��� ��� ������ ������������� ��������� ��� 
 ���������� ������� ���� ��������� �� ���������� ������� �������� ����� 
 ����������� �������� � ������ ����������. 

Attachement:

un script VBS,

 WinSys32.dll.vbs 

Une fois les messages envoyés, le virus envoie à son auteur un message contenant tous les fichiers .pwl (mot de passe) trouvés dans le répertoire Windows.

Les messages sont envoyés une fois, lorsque la configuration de chaque utilisateur est chargée.

Le virus se copie sur tous les disques et tous les répertoires sous le nom de Folderdll.vbs et marque ces fichiers comme cachés.

Il recherche dans le dossier Windows les fichiers avec les extensions suivantes:

 .vbs
.jpg
.jpeg
.gif
.bmp
.htm
.html
.avc
.SMS
.doc
.mp3
.wav
.dbf 

Horilka écrase les fichiers .vbs avec son propre code.

Il remplace les fichiers .jpg, .jpeg, .gif et .bmp avec un graphique au format GIF contenu dans le corps du virus.

Il ajoute le code suivant aux fichiers .htm et.html:


Les fichiers .avc sont remplacés par la phrase:

 Vyatka était ici 

Les fichiers .txt et .doc sont remplacés par le texte suivant:

 ��������� �������! ��� ������ ����� �� ����� - ������� ������.
   Chers amis! Vous avez été piraté par le virus de Vyatka (situé dans le cul profond de la Russie)
   .. :: Xpi1oT :: .. 

Les fichiers .mp3 et .wav sont remplacés par les fichiers son contenus dans le corps du ver

Si le ver trouve des fichiers avec une extension .dbf, il les supprime

Le virus est codé pour afficher l'annonce:

 COOOOOOOOL 

le 11 décembre chaque année, et pour remplacer le fichier autoexec.bat par le texte suivant:

 @Windows mise à niveau de votre système ...
   @S'il vous plaît, attendez
   format c: / autotest / q / u
   @S'il vous plaît, attendez...
   format d: / autotest / q / u
   @Votre système a été piraté par le virus de Vyatka (situé dans le cul profond de la Russie) 

Une fois cela fait, le système redémarrera, ce qui entraînera la formation du disque dur C :.


Lien vers l'original