CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS. Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.
Solutions pour:
Particuliers
Petites entreprises
Moyennes entreprises
Grandes entreprises
Vulnérabilités Menaces
Accueil Menaces Email-Worm VBS

Email-Worm.VBS.KakWorm

Classe
Email-Worm
Plateforme
VBS

Classe pour les parents: VirWare

Les virus et les vers sont des programmes malveillants qui s'auto-répliquent sur des ordinateurs ou via des réseaux informatiques sans que l'utilisateur en soit conscient; chaque copie ultérieure de tels programmes malveillants est également capable de s'autoreproduire. Les programmes malveillants qui se propagent via des réseaux ou infectent des machines distantes lorsque le "propriétaire" (par exemple Backdoors) ou les programmes qui créent plusieurs copies qui ne peuvent pas s'auto-répliquer ne font pas partie de la sous-classe Virus and Worms. La caractéristique principale utilisée pour déterminer si un programme est classé comme un comportement distinct dans la sous-classe Virus and Worms est la manière dont le programme se propage (c'est-à-dire comment le programme malveillant répand des copies de lui-même via des ressources locales ou réseau). en tant que fichiers envoyés en pièces jointes, via un lien vers une ressource Web ou FTP, via un lien envoyé dans un message ICQ ou IRC, via des réseaux de partage de fichiers P2P, etc. Certains vers se propagent sous la forme de paquets réseau; ceux-ci pénètrent directement dans la mémoire de l'ordinateur et le code du ver est alors activé. Worms utilise les techniques suivantes pour pénétrer des ordinateurs distants et lancer des copies d'eux-mêmes: ingénierie sociale (par exemple, un message électronique suggérant que l'utilisateur ouvre un fichier joint), exploitation des erreurs de configuration réseau (par exemple copie sur disque entièrement accessible) failles dans la sécurité du système d'exploitation et des applications. Les virus peuvent être divisés en fonction de la méthode utilisée pour infecter un ordinateur: virus de fichiers virus du secteur de démarrage virus de script virus de virus Tous les programmes de cette sous-classe peuvent avoir des fonctions de Troie supplémentaires. Il convient également de noter que de nombreux vers utilisent plus d'une méthode pour diffuser des copies via des réseaux. Les règles de classification des objets détectés avec des fonctions multiples doivent être utilisées pour classer ces types de vers.

Classe: Email-Worm

Email-Worms propagation par e-mail. Le ver envoie une copie de lui-même en pièce jointe à un message électronique ou un lien vers son fichier sur une ressource réseau (par exemple, une URL vers un fichier infecté sur un site Web compromis ou un site Web appartenant à un pirate). Dans le premier cas, le code du ver est activé lorsque la pièce jointe infectée est ouverte (lancée). Dans le second cas, le code est activé lorsque le lien vers le fichier infecté est ouvert. Dans les deux cas, le résultat est le même: le code du ver est activé. Email-Worms utilise une gamme de méthodes pour envoyer des emails infectés. Les plus courantes sont: l'utilisation d'une connexion directe à un serveur SMTP à l'aide du répertoire de messagerie intégré dans le code du ver en utilisant les services MS Outlook à l'aide des fonctions Windows MAPI. Email-Worms utilisent un certain nombre de sources différentes pour trouver les adresses email auxquelles les emails infectés seront envoyés: le carnet d'adresses dans MS Outlook une base de données d'adresses WAB .txt fichiers stockés sur le disque dur: le ver peut identifier les chaînes dans les fichiers texte Les e-mails adressent des e-mails dans la boîte de réception (certains e-mails peuvent même répondre aux e-mails trouvés dans la boîte de réception) De nombreux vers de messagerie utilisent plus d'une des sources répertoriées ci-dessus. Il existe également d'autres sources d'adresses électroniques, telles que les carnets d'adresses associés aux services de messagerie Web.

Plus d'informations

Plateforme: VBS

Visual Basic Scripting Edition (VBScript) est un langage de script interprété par Windows Script Host. VBScript est largement utilisé pour créer des scripts sur les systèmes d'exploitation Microsoft Windows.

Description

Détails techniques

Ce ver est écrit dans le langage Java Script, qui, pour l'étalement, utilise MS Outlook Express. Le ver ne s'attache pas aux messages comme le font les virus de vers ordinaires, mais intègre son corps dans un message en tant que programme de script.

Le ver ne fonctionne que sur les versions Windows anglaises et françaises. Cela ne fonctionne pas non plus dans le cas où Windows est installé dans un répertoire autre que "C: WINDOWS".

Le ver est entièrement compatible avec MS Outlook Express uniquement. Dans MS Outlook, le ver est activé et infecte le système, mais il ne peut pas se propager davantage, car il cible uniquement MS Outlook Express pour diffuser ses copies. Sur les autres systèmes de messagerie, la fonctionnalité du ver dépend des fonctionnalités de ce système.

En infectant le système, le ver crée trois fichiers supplémentaires avec sa copie. D'abord, deux d'entre eux sont utilisés pour infecter le système et le dernier est utilisé pour propager le code du ver via un courrier électronique infecté:

1. KAK.HTA dans le dossier de démarrage de Windows
2. fichier nommé .HTA aléatoire dans le dossier système Windows
3. Fichier KAK.HTM dans le dossier Windows

Le ver a une routine de charge utile. Le 1er de chaque mois après 17h00, il affiche le message suivant:

Kagou-Anti-Kro $ oft dit pas aujourd'hui!

forcer Windows à sortir après cela.

Diffusion

Le ver arrive sur un ordinateur sous la forme d'un message électronique au format HTML. Le corps du message contient un script (programme de script Java) qui est le corps du ver lui-même. Ce programme n'apparaît pas à l'écran, car dans les documents HTML, les programmes de script ne sont jamais affichés. Par conséquent, lors de l'ouverture d'un message infecté (ou lors de la prévisualisation), seul le corps du message est affiché et aucun code de ver n'est visible, mais le script est automatiquement exécuté par l'expéditeur et le ver reçoit le contrôle.

Le ver infecte le système et se propage en trois étapes.

1. Le ver crée sa copie en tant que fichier disque dans un dossier de démarrage Windows (démarrage automatique).

2. Lorsque le ver est exécuté à partir du dossier de démarrage de Windows, il se déplace dans le répertoire système Windows, enregistre cette nouvelle copie dans le registre système dans la section démarrage automatique et supprime la première copie du dossier de démarrage de Windows.

3. Le ver accède à la section de registre MS Outlook Express et enregistre la copie du ver comme signature par défaut. Outlook Express enverra alors automatiquement le code du ver via tous les messages envoyés.

Le ver a besoin de ces étapes, car dans la première phase, il ne peut accéder qu'aux fichiers disque, pas au registre système. Il doit donc être exécuté à partir d'un fichier disque (de "Local Intranet zone") pour modifier les clés de registre. Le ver supprime alors sa copie du dossier de démarrage de Windows pour se cacher, et tous les programmes sont visibles dans le menu StartProgramsStartup.

Spreading: étape 1 - être exécuté à partir d'un message infecté

Lors de l'activation d'un message infecté, le ver accède au disque local d'un ordinateur. Pour éviter la protection de la sécurité (accès au disque local interdit par défaut), le ver utilise une violation de sécurité nommée «Vulnérabilité de sécurité TypeLib». Le ver crée un objet ActiveX marqué comme sûr pour les scripts et a la possibilité d'écrire des fichiers sur le disque. En utilisant cet objet ActiveX, le ver obtient un accès écrit au disque.

Le ver crée ensuite le fichier KAK.HTA et y place son propre code. Ce fichier est placé dans le répertoire de démarrage de Windows et, par conséquent, il sera exécuté au prochain démarrage de Windows.

Commentaire:

Un fichier HTA est une application HTML - le type de fichier qui apparaît après l'installation
Internet Explorer 5.0. Les fichiers HTA contiennent du texte HTML régulier avec des scripts
à l'intérieur, mais en cours d'exécution, il fonctionne comme une application autonome - sans
le shell Internet Explorer. Il fournit la possibilité d'écrire puissant
applications utilisant des scripts réguliers en HTML.

Lors de la création du fichier KAK.HTA, le ver ne détermine pas un chemin d'accès réel au répertoire Windows et suppose toujours que Windows est installé dans le dossier "C: WINDOWS". Par conséquent, le ver est incapable de se propager sur un système où Windows a été installé dans un autre répertoire que "C: WINDOWS". Le ver essaie deux variantes du dossier de démarrage Windows dans lequel placer sa copie:

MENUD� ~ 1PROGRA ~ 1D�MARR ~ 1 (nom par défaut dans la version française de Windows)
STARTM ~ 1ProgramsStartUp (nom par défaut en anglais Version Windows)

Dans le cas où le répertoire de démarrage de Windows a un autre nom (dans une autre localisation Windows), le ver est incapable d'y écrire son fichier et ne peut donc pas se propager davantage.

Spreading: étape 2 - en cours d'exécution à partir de KAK.HTA

Lors du redémarrage de Windows suivant, le fichier "KAK.HTA" est activé depuis le répertoire de démarrage de Windows. Le programme de script dans ce fichier crée le même fichier HTA dans le répertoire système Windows. Ce fichier a un nom dépendant du système (comme "9A4ADF27.HTA"). Le ver modifie ensuite le registre du système pour exécuter ce fichier à chaque démarrage de Windows. Dans le cas où un utilisateur modifie la signature Outlook Express par défaut, le script de ce fichier restaurera les composants et les paramètres de registre du ver; c'est-à-dire qu'il va réinfecter le système.

Le script "KAK.HTA" crée alors le fichier "KAK.HTM" qui contient uniquement le code du ver (cette page HTML n'a pas de texte à afficher autre que le script pur worm). Ce fichier est utilisé plus tard pour infecter les messages.

Enfin, le script ajoute aux commandes du fichier "C: AUTOEXEC.BAT" qui suppriment "KAK.HTA" du répertoire de démarrage, car il n'en a plus besoin.

Diffusion: étape 3 - Envoi de messages infectés

Le même script ("KAK.HTA") modifie ensuite le registre du système. Il crée une nouvelle signature Outlook Express qui fait référence au fichier "KAK.HTM" et définit cette signature comme la signature par défaut dans Outlook Express. À partir de ce moment, chaque fois qu'Outlook Express compose un message, il insère la signature infectée dans le message (le contenu du fichier "KAK.HTM").

Le ver est capable de diffuser uniquement les paramètres par défaut via les messages HTML (et ce sont les MS Outlook Express). Les messages RTF et "texte brut" ne sont pas infectés et ne peuvent pas être infectés.

Protéger

Le problème est que l'analyse antivirus régulière à l'aide de scanners à la demande n'offre pas de protection contre ce type de vers. Chaque fois qu'un message infecté est ouvert dans Outlook, le ver réapparaîtra. De plus, si Outlook Express se configure pour afficher un volet de prévisualisation, il suffit de sélectionner le message infecté dans la liste pour que le ver soit activé.

1. Afin de vous protéger, il est possible d'utiliser des scanners à l'accès pour attraper le ver au moment où il s'écrit sur le disque. Mais les scanners à l'accès ne peuvent pas empêcher l'activation du ver, car les scripts des messages HTML de courrier électronique sont exécutés directement dans la mémoire du système, ne sont pas stockés et s'exécutent à partir d'un fichier disque.

La meilleure solution consiste à utiliser des utilitaires anti-virus qui vérifient les programmes de script juste avant leur exécution (voir "AVP Script Checker"). De tels programmes peuvent empêcher l'activation du ver et l'infection du système.

2. Pour écrire son propre fichier sur le disque, le ver utilise une faille de sécurité Internet Explorer 5.0. Microsoft a publié une mise à jour qui élimine la vulnérabilité de sécurité "Scriptlet.Typelib". Nous vous recommandons fortement de visiter http://support.microsoft.com/support/kb/articles/Q240/3/08.ASP et d'installer cette mise à jour.

3. Si vous ne prévoyez pas d'utiliser des applications HTML (fichiers HTA) au travail, il existe un autre moyen de prévenir les infections de ce type (les vers et les virus qui utilisent les fichiers HTA pour se propager). Il est nécessaire de supprimer l'association de fichier pour l'extension .HTA. Pour ce faire, vous devez suivre plusieurs étapes:

1. Double-cliquez sur l'icône "Poste de travail" sur votre bureau.
2. Dans la fenêtre qui apparaît, choisissez le menu "Affichage" -> "Options ...".
3. Dans l'onglet "Types de fichiers" de la zone de liste "Types de fichiers enregistrés", sélectionnez l'élément "Application HTML".
4. Cliquez sur le bouton "Supprimer" et confirmez l'action.
5. Fermez la boîte de dialogue des options.

En savoir plus

Découvrez les statistiques de la propagation des vulnérabilités dans votre région statistics.securelist.com

Vous avez trouvé une inexactitude dans la description de cette vulnérabilité ? Faites-le nous savoir !
Kaspersky!
Votre vie en ligne mérite une protection complète!
Apprendre encore plus
Kaspersky IT Security Calculator:
Calculez le profil de sécurité de votre entreprise
Apprendre encore plus
Related articles
24 April 2024
Securelist
Assessing the Y, and How, of the XZ Utils incident
22 April 2024
Securelist
ToddyCat is making holes in your infrastructure
18 April 2024
Securelist
DuneQuixote campaign targets Middle Eastern entities with “CR4T” malware
17 April 2024
Securelist
SoumniBot: the new Android banker’s unique techniques
15 April 2024
Securelist
Using the LockBit builder to generate targeted ransomware
12 April 2024
Securelist
XZ backdoor story – Initial analysis
Vous avez trouvé une inexactitude dans la description de cette vulnérabilité ?
Si vous avez découvert une nouvelle menace ou vulnérabilité, veuillez nous en informer par e-mail :
newvirus@kaspersky.com
Vous avez découvert une nouvelle menace ou vulnérabilité ?
Si vous avez découvert une nouvelle menace ou vulnérabilité, veuillez nous en informer par e-mail :
newvirus@kaspersky.com
Solutions pour
Particuliers
Petites entreprises
Moyennes entreprises
Grandes entreprises
Select language
Sorting
Menace
Confirm changes?
Your message has been sent successfully.