Classe pour les parents: VirWare
Les virus et les vers sont des programmes malveillants qui s'auto-répliquent sur des ordinateurs ou via des réseaux informatiques sans que l'utilisateur en soit conscient; chaque copie ultérieure de tels programmes malveillants est également capable de s'autoreproduire. Les programmes malveillants qui se propagent via des réseaux ou infectent des machines distantes lorsque le "propriétaire" (par exemple Backdoors) ou les programmes qui créent plusieurs copies qui ne peuvent pas s'auto-répliquer ne font pas partie de la sous-classe Virus and Worms. La caractéristique principale utilisée pour déterminer si un programme est classé comme un comportement distinct dans la sous-classe Virus and Worms est la manière dont le programme se propage (c'est-à-dire comment le programme malveillant répand des copies de lui-même via des ressources locales ou réseau). en tant que fichiers envoyés en pièces jointes, via un lien vers une ressource Web ou FTP, via un lien envoyé dans un message ICQ ou IRC, via des réseaux de partage de fichiers P2P, etc. Certains vers se propagent sous la forme de paquets réseau; ceux-ci pénètrent directement dans la mémoire de l'ordinateur et le code du ver est alors activé. Worms utilise les techniques suivantes pour pénétrer des ordinateurs distants et lancer des copies d'eux-mêmes: ingénierie sociale (par exemple, un message électronique suggérant que l'utilisateur ouvre un fichier joint), exploitation des erreurs de configuration réseau (par exemple copie sur disque entièrement accessible) failles dans la sécurité du système d'exploitation et des applications. Les virus peuvent être divisés en fonction de la méthode utilisée pour infecter un ordinateur: virus de fichiers virus du secteur de démarrage virus de script virus de virus Tous les programmes de cette sous-classe peuvent avoir des fonctions de Troie supplémentaires. Il convient également de noter que de nombreux vers utilisent plus d'une méthode pour diffuser des copies via des réseaux. Les règles de classification des objets détectés avec des fonctions multiples doivent être utilisées pour classer ces types de vers.Classe: Email-Worm
Email-Worms propagation par e-mail. Le ver envoie une copie de lui-même en pièce jointe à un message électronique ou un lien vers son fichier sur une ressource réseau (par exemple, une URL vers un fichier infecté sur un site Web compromis ou un site Web appartenant à un pirate). Dans le premier cas, le code du ver est activé lorsque la pièce jointe infectée est ouverte (lancée). Dans le second cas, le code est activé lorsque le lien vers le fichier infecté est ouvert. Dans les deux cas, le résultat est le même: le code du ver est activé. Email-Worms utilise une gamme de méthodes pour envoyer des emails infectés. Les plus courantes sont: l'utilisation d'une connexion directe à un serveur SMTP à l'aide du répertoire de messagerie intégré dans le code du ver en utilisant les services MS Outlook à l'aide des fonctions Windows MAPI. Email-Worms utilisent un certain nombre de sources différentes pour trouver les adresses email auxquelles les emails infectés seront envoyés: le carnet d'adresses dans MS Outlook une base de données d'adresses WAB .txt fichiers stockés sur le disque dur: le ver peut identifier les chaînes dans les fichiers texte Les e-mails adressent des e-mails dans la boîte de réception (certains e-mails peuvent même répondre aux e-mails trouvés dans la boîte de réception) De nombreux vers de messagerie utilisent plus d'une des sources répertoriées ci-dessus. Il existe également d'autres sources d'adresses électroniques, telles que les carnets d'adresses associés aux services de messagerie Web.Plus d'informations
Plateforme: VBS
Visual Basic Scripting Edition (VBScript) est un langage de script interprété par Windows Script Host. VBScript est largement utilisé pour créer des scripts sur les systèmes d'exploitation Microsoft Windows.Description
Détails techniques
C'est le ver Internet qui a causé l'épidémie mondiale au début de mai 2000. Le ver se propage par courrier électronique en envoyant des messages infectés provenant d'ordinateurs affectés. Lors de la propagation, le ver utilise MS Outlook et s'envoie à toutes les adresses qui sont stockées dans le carnet d'adresses MS Outlook. Par conséquent, un ordinateur infecté envoie autant de messages à autant d'adresses conservées dans la liste de contacts MS Outlook.
Le ver est écrit dans le langage de script "Visual Basic Script" (VBS). Il fonctionne uniquement sur les ordinateurs sur lesquels Windows Scripting Host (WSH) a été installé. Dans Windows 98 et Windows 2000, WHS est installé par défaut. Pour se propager, le ver accède à MS Outlook et utilise ses fonctions et listes d'adresses, disponibles uniquement dans Outlook 98/2000, de sorte que le ver ne peut se propager que si l'une de ces versions MS Oulook est installée.
Lorsqu'il est exécuté, le ver envoie ses copies par e-mail, s'installe dans le système, effectue des actions destructrices, télécharge et installe un cheval de Troie. Le ver a également la capacité de se propager à travers les canaux mIRC.
Le ver contient des chaînes "copyright":
barok -loveletter (vbe) <je déteste aller à l'école>
par: spyder / ispyder@mail.com / Groupe @GRAMMERSoft / Manille, Philippines
Diffusion
Le ver arrive à un ordinateur sous la forme d'un message électronique avec un fichier VBS joint qui est le ver lui-même. Le message dans la version de ver d'origine a:
Le sujet: ILOVEYOU
Corps du message: veuillez vérifier le LOVELETTER ci-joint venant de moi.
Nom de fichier attaché: LOVE-LETTER-FOR-YOU.TXT.vbs
Lors de l'activation par un utilisateur, (en double-cliquant sur un fichier joint) le ver ouvre MS Outlook, accède au carnet d'adresses, récupère toutes les adresses à partir de là et envoie des messages avec sa copie attachée à chacun d'entre eux. L'objet du message, le corps et le nom de fichier joint sont les mêmes que ci-dessus.
Le ver s'installe également dans le système. Il crée ses copies dans les répertoires Windows avec les noms:
dans le répertoire Windows: WIN32DLL.VBS dans le répertoire système Windows: MSKERNEL32.VBS, LOVE-LETTER-FOR-YOU.TXT.VBS
Ces fichiers sont ensuite enregistrés dans la section d'exécution automatique Windows du registre système:
HKLMSoftwareMicrosoftWindowsCurrentVersionRunMSKernel32 = MSKERNEL32.VBS
HKLMSoftwareMicrosoftWindowsCurrentVersionRunServicesWin32DLL = Win32DLL.VBS
Par conséquent, le ver est réactivé chaque fois que Windows démarre.
Le ver crée également un compte-gouttes HTM dans le répertoire système Windows pour l'utiliser lors de la diffusion vers les canaux mIRC (voir ci-dessous). Cette copie porte le nom suivant:
LOVE-LETTER-FOR-YOU.TXT.HTM
Téléchargement d'un fichier cheval de Troie
Pour installer le programme de Troie sur le système, le ver modifie l'URL de la page de démarrage d'Internet Explorer. La nouvelle URL pointe vers un site Web (sélectionné de façon aléatoire à partir de quatre variantes) et force Explorer à télécharger un fichier EXE à partir de là. Ce fichier a le nom WIN-BUGSFIX.EXE et est le programme de Troie. Le ver enregistre ensuite ce fichier dans le registre du système dans une section d'exécution automatique:
HKLMSoftwareMicrosoftWindowsCurrentVersionRunWIN-BUGSFIX = WIN-BUGSFIX.exe
Lors de la prochaine exécution, Internet Exlorer télécharge le cheval de Troie et le stocke dans le répertoire de téléchargement du système. Au prochain démarrage de Windows, le cheval de Troie obtient le contrôle et se copie dans le répertoire système de Windows avec le nom WINFAT32.EXE.
Lorsque le cheval de Troie a été installé dans le système, le ver définit la page de démarrage d'Internet Explorer comme vierge ("about: blank").
Le fichier téléchargé et installé est un cheval de Troie voleur de mot de passe. Il obtient le nom de la machine locale et l'adresse IP, le (s) identifiant (s) réseau (s) et mot (s) de passe, les informations RAS, etc., et les envoie à l'hôte cheval de Troie. Les échantillons qui ont été analysés envoient des messages à "mailme@super.net.ph", l'objet du message ressemble à ce qui suit:
Barok ... email.passwords.sender.trojan
Diffusion vers les canaux IRC
Le ver analyse les disques locaux et recherche les fichiers:
MIRC32.EXE, MLINK32.EXE, MIRC.INI, SCRIPT.INI, MIRC.HLP
Dans le cas où au moins l'un de ces fichiers est trouvé dans un sous-répertoire, le ver dépose un nouveau fichier SCRIPT.INI à cet emplacement. Ce fichier contient des instructions mIRC qui envoient une copie de ver (le fichier LOVE-LETTER-FOR-YOU.TXT.HTM) à tous les utilisateurs qui se joignent au canal IRC infecté.
Le fichier SCRIPT.INI contient les commentaires:
Script mIRC
S'il vous plaît ne pas modifier ce script ... mIRC va corrompre, si mIRC sera
corrompu ... WINDOWS affectera et ne fonctionnera pas correctement. Merci
Khaled Mardam-Bey
http://www.mirc.com
Lorsqu'un utilisateur IRC reçoit ce code HTML infecté, il est copié dans un répertoire de téléchargement IRC. Le ver est alors activé à partir de ce fichier uniquement au cas où l'utilisateur clique dessus. Étant donné que les paramètres de sécurité du navigateur n'autorisent pas les scripts à accéder aux fichiers du disque et à afficher un message d'avertissement, le ver utilise une astuce pour éviter cela. D'abord, il affiche un message pour tromper l'utilisateur:
Ce fichier HTML nécessite un contrôle ActiveX
Activer pour lire ce fichier HTML
- S'il vous plaît appuyez sur le bouton 'OUI' pour Activer ActiveX
Dans le cas où l'utilisateur clique vraiment sur 'OUI', le ver accède aux fichiers du disque et s'installe dans le système. Il supprime son code VBS dans le répertoire système Windows avec le nom MSKERNEL32.VBS et l'enregistre dans la section d'exécution automatique Windows du registre système:
HKLMSoftwareMicrosoftWindowsCurrentVersionRunMSKernel32 = MSKERNEL32.VBS
Dans le cas où 'NON' est choisi, le ver intercepte le mouvement de la souris et la touche et se recharge ensuite. En conséquence, un utilisateur reçoit un message d'avertissement dans une boucle sans fin jusqu'à ce qu'il appuie sur «OUI».
Action destructive
Le ver analyse les arborescences de sous-répertoires sur tous les lecteurs locaux et mappés disponibles, répertorie tous les fichiers et, en fonction de l'extension du nom de fichier, effectue les actions suivantes:
- VBS, VBE: le ver écrase ces fichiers avec son corps VBS. Par conséquent, tous les programmes VBS et VBE du système sont remplacés par du code de ver.
- JS, JSE, CSS, WSH, SCT, HTA: le ver crée un nouveau fichier avec un nom de fichier original plus l'extension ".VBS" et supprime le fichier original; Par exemple, le ver écrase ces fichiers avec son code et les renomme avec l'extension VBS. Par exemple, "TEST.JS" devient "TEST.VBS".
- JPG, JPEG: le ver fait la même chose que ci-dessus, mais ajoute une extension ".VBS" au nom de fichier complet (ne le renomme pas en ".VBS"). Par exemple, "PIC1.JPG" devient "PIC1.JPG.VBS".
- MP2, MP3: le ver crée un nouveau fichier avec une extension ".VBS" (pour "SONG.MP2", le ver crée le fichier "SONG.MP2.VBS"), y écrit son code et définit l'attribut du fichier " caché "pour le fichier original.
D'autres variantes
Le ver lui-même est un programme de script de texte, et il est diffusé sous forme de source de texte. Le code du ver peut être facilement modifié par les pirates, et par conséquent, il existe de nombreuses variantes du ver d'origine. La plupart d'entre eux ne sont que des remakes mineurs et diffèrent du ver original juste en détails - il y a du texte de champs de message changé, des noms de fichiers différents, un ensemble différent d'extensions de fichiers affectés (par exemple .BAT et .INI).
Le sujet, le corps du message et le nom de fichier joint dans différentes variantes apparaissent comme indiqué ci-dessous (le premier bloc appartient à la version originale du ver):
Sujet / corps / nom de pièce jointe JE T'AIME veuillez vérifier le LOVELETTER ci-joint venant de moi. LOVE-LETTER-FOR-YOU.TXT.vbs Confirmation de commande pour la fête des mères Nous avons procédé au débit de votre carte de crédit au montant de 326,92 $ pour la fête des mères du diamant spécial. Nous avons joint un détail facture à cet email. S'il vous plaît imprimer la pièce jointe et le garder dans un endroit sûr. Merci encore et bonne fête des mères! mothersday@subdimension.com mothersday.vbs fwd: blague- Aucun corps de message dans le message Très drôle.vbs Susitikim shi vakara kavos puodukui ... veuillez vérifier le LOVELETTER ci-joint venant de moi. LOVE-LETTER-FOR-YOU.TXT.vbs Important! Lire attentivement !! Vérifiez la pièce jointe IMPORTANT venant de moi! IMPORTANT.TXT.vbs Avertissement de virus dangereux Il y a un virus dangereux qui circule. S'il vous plaît cliquez sur la photo ci-jointe pour l'afficher et apprendre à l'éviter. virus_warning.jpg.vbs Comment se protéger du bug IL0VEY0U! Voici le moyen facile de réparer le virus de l'amour. Virus-Protection-Instructions.vbs Merci de voler avec Arab Airlines S'il vous plaît vérifier si la facture est correcte, en ouvrant le fichier ci-joint. ArabAir.TXT.vbs Bewerbung Kreolina Sehr geehrte Damen und Herren! BEWERBUNG.TXT.vbs REGARDEZ! hehe ... regarde ça. LOOK.vbs Test de variante Ceci est une variante du virus vbs. IMPORTANT.TXT.vbs Ouais, ouais une autre fois à MORT ... C'est le tueur pour VBS.LOVE-LETTER.WORM. Vir-Killer.vbs Je ne peux pas croire ça !!! Je ne peux pas croire que j'ai reçu ce courriel de haine. Jetez un coup d'oeil! KillEmAll.TXT.vbs Nouvelle variante sur LOVEBUG Update Anti-Virus !! Il y a maintenant une nouvelle variante de bug d'amour. Il a été libéré à 20h37 Samedi soir. Veuillez télécharger le patch suivant. Nous essayons d'isoler le virus. Merci Symantec. antivirusupdate.vbs IMPORTANT: Correctif officiel de virus et de bogue Ceci est un correctif officiel de virus et de bogue. Je l'ai eu de notre administrateur système. Cela peut prendre un peu de temps pour mettre à jour vos fichiers système après avoir exécuté le attachement. Bug et virus fix.vbs Attaques de virus récentes Ci-joint une copie d'un script qui va inverser l'effet de le LOVE-LETTER-TO-YOU.TXT.vbs ainsi que le FW: JOKE, Fête des Mères et Frères et Sœurs Lituaniens. BAND-AID.DOC.vbs PresenteUOL O UOL tem um grande presente para voce, e e exclusivo. Veja o arquivo em anexo. http://www.uol.com.br UOL.TXT.vbs BUG & VIRUS FIX Je l'ai eu de notre administrateur système. Exécutez ceci pour aider pervent un ny récent ou futur bug et attaque de virus. Cela peut prendre un peu de temps pour mettre à jour vos fichiers. BOGUE MAJEURE ET VIRUS FIX.vbsMOTS DE PASSE SEXSITE GRATUIT Vérifiez-le ; MOTS DE PASSE DU SITE SEXUEL GRATUIT. SEXSITE GRATUIT PASSWORDS.HTML.vbs Vous pouvez gagner 1 000 000 $! 1 Cliquez sur Away veuillez vérifier le WIN attaché venant de moi. WIN.vbs Avertissements de virus !!! TRÈS IMPORTANT VEUILLEZ LIRE CE TEXTE. ATTACHEMENT DE TEXTE. très important-txt.vbs COMMENT BATTRE LES VIRUS veuillez vérifier les informations de VIRUS attachées venant de moi. C'est ainsi que vous pouvez être immunisé contre tout virus. Ça aide vraiment beaucoup! HOW_TO_BEAT_VIRUSES.TXT.vbsVous devez lire ceci! Avez-vous lu ce texte? Tu dois le faire!! C: NOTES.TXT.exeNouveau virus découvert! Un nouveau virus a été découvert! Son nom est @ - @ Alha et Omega @ - @. La liste complète des capacités virales est incluse dans le fichier joint @ - @ info.txt @ - @. Pour les dernières informations, allez sur la page web de McAfee Veuillez transmettre ce message à tous ceux qui vous intéressent. info.txt.vbs J'aimerais que tu sois ici! J'aimerais que tu sois ici! Je passe un bon moment! Je vous souhaite d'être ici! .postcard.vbs
En savoir plus
Découvrez les statistiques de la propagation des vulnérabilités dans votre région statistics.securelist.com