CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.
Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.
Date de la détection | 05/05/2000 |
Classe | Email-Worm |
Plateforme | VBS |
Description |
Détails techniquesC'est le ver Internet qui a causé l'épidémie mondiale au début de mai 2000. Le ver se propage par courrier électronique en envoyant des messages infectés provenant d'ordinateurs affectés. Lors de la propagation, le ver utilise MS Outlook et s'envoie à toutes les adresses qui sont stockées dans le carnet d'adresses MS Outlook. Par conséquent, un ordinateur infecté envoie autant de messages à autant d'adresses conservées dans la liste de contacts MS Outlook. Le ver est écrit dans le langage de script "Visual Basic Script" (VBS). Il fonctionne uniquement sur les ordinateurs sur lesquels Windows Scripting Host (WSH) a été installé. Dans Windows 98 et Windows 2000, WHS est installé par défaut. Pour se propager, le ver accède à MS Outlook et utilise ses fonctions et listes d'adresses, disponibles uniquement dans Outlook 98/2000, de sorte que le ver ne peut se propager que si l'une de ces versions MS Oulook est installée. Lorsqu'il est exécuté, le ver envoie ses copies par e-mail, s'installe dans le système, effectue des actions destructrices, télécharge et installe un cheval de Troie. Le ver a également la capacité de se propager à travers les canaux mIRC. Le ver contient des chaînes "copyright":
DiffusionLe ver arrive à un ordinateur sous la forme d'un message électronique avec un fichier VBS joint qui est le ver lui-même. Le message dans la version de ver d'origine a: Le sujet: ILOVEYOU Lors de l'activation par un utilisateur, (en double-cliquant sur un fichier joint) le ver ouvre MS Outlook, accède au carnet d'adresses, récupère toutes les adresses à partir de là et envoie des messages avec sa copie attachée à chacun d'entre eux. L'objet du message, le corps et le nom de fichier joint sont les mêmes que ci-dessus. Le ver s'installe également dans le système. Il crée ses copies dans les répertoires Windows avec les noms: dans le répertoire Windows: WIN32DLL.VBS dans le répertoire système Windows: MSKERNEL32.VBS, LOVE-LETTER-FOR-YOU.TXT.VBS Ces fichiers sont ensuite enregistrés dans la section d'exécution automatique Windows du registre système:
Par conséquent, le ver est réactivé chaque fois que Windows démarre. Le ver crée également un compte-gouttes HTM dans le répertoire système Windows pour l'utiliser lors de la diffusion vers les canaux mIRC (voir ci-dessous). Cette copie porte le nom suivant:
Téléchargement d'un fichier cheval de TroiePour installer le programme de Troie sur le système, le ver modifie l'URL de la page de démarrage d'Internet Explorer. La nouvelle URL pointe vers un site Web (sélectionné de façon aléatoire à partir de quatre variantes) et force Explorer à télécharger un fichier EXE à partir de là. Ce fichier a le nom WIN-BUGSFIX.EXE et est le programme de Troie. Le ver enregistre ensuite ce fichier dans le registre du système dans une section d'exécution automatique:
Lors de la prochaine exécution, Internet Exlorer télécharge le cheval de Troie et le stocke dans le répertoire de téléchargement du système. Au prochain démarrage de Windows, le cheval de Troie obtient le contrôle et se copie dans le répertoire système de Windows avec le nom WINFAT32.EXE. Lorsque le cheval de Troie a été installé dans le système, le ver définit la page de démarrage d'Internet Explorer comme vierge ("about: blank"). Le fichier téléchargé et installé est un cheval de Troie voleur de mot de passe. Il obtient le nom de la machine locale et l'adresse IP, le (s) identifiant (s) réseau (s) et mot (s) de passe, les informations RAS, etc., et les envoie à l'hôte cheval de Troie. Les échantillons qui ont été analysés envoient des messages à "mailme@super.net.ph", l'objet du message ressemble à ce qui suit:
Diffusion vers les canaux IRCLe ver analyse les disques locaux et recherche les fichiers:
Dans le cas où au moins l'un de ces fichiers est trouvé dans un sous-répertoire, le ver dépose un nouveau fichier SCRIPT.INI à cet emplacement. Ce fichier contient des instructions mIRC qui envoient une copie de ver (le fichier LOVE-LETTER-FOR-YOU.TXT.HTM) à tous les utilisateurs qui se joignent au canal IRC infecté. Le fichier SCRIPT.INI contient les commentaires:
Lorsqu'un utilisateur IRC reçoit ce code HTML infecté, il est copié dans un répertoire de téléchargement IRC. Le ver est alors activé à partir de ce fichier uniquement au cas où l'utilisateur clique dessus. Étant donné que les paramètres de sécurité du navigateur n'autorisent pas les scripts à accéder aux fichiers du disque et à afficher un message d'avertissement, le ver utilise une astuce pour éviter cela. D'abord, il affiche un message pour tromper l'utilisateur:
Dans le cas où l'utilisateur clique vraiment sur 'OUI', le ver accède aux fichiers du disque et s'installe dans le système. Il supprime son code VBS dans le répertoire système Windows avec le nom MSKERNEL32.VBS et l'enregistre dans la section d'exécution automatique Windows du registre système:
Dans le cas où 'NON' est choisi, le ver intercepte le mouvement de la souris et la touche et se recharge ensuite. En conséquence, un utilisateur reçoit un message d'avertissement dans une boucle sans fin jusqu'à ce qu'il appuie sur «OUI». Action destructiveLe ver analyse les arborescences de sous-répertoires sur tous les lecteurs locaux et mappés disponibles, répertorie tous les fichiers et, en fonction de l'extension du nom de fichier, effectue les actions suivantes:
D'autres variantesLe ver lui-même est un programme de script de texte, et il est diffusé sous forme de source de texte. Le code du ver peut être facilement modifié par les pirates, et par conséquent, il existe de nombreuses variantes du ver d'origine. La plupart d'entre eux ne sont que des remakes mineurs et diffèrent du ver original juste en détails – il y a du texte de champs de message changé, des noms de fichiers différents, un ensemble différent d'extensions de fichiers affectés (par exemple .BAT et .INI). Le sujet, le corps du message et le nom de fichier joint dans différentes variantes apparaissent comme indiqué ci-dessous (le premier bloc appartient à la version originale du ver): Sujet / corps / nom de pièce jointe JE T'AIME veuillez vérifier le LOVELETTER ci-joint venant de moi. LOVE-LETTER-FOR-YOU.TXT.vbs Confirmation de commande pour la fête des mères Nous avons procédé au débit de votre carte de crédit au montant de 326,92 $ pour la fête des mères du diamant spécial. Nous avons joint un détail facture à cet email. S'il vous plaît imprimer la pièce jointe et le garder dans un endroit sûr. Merci encore et bonne fête des mères! mothersday@subdimension.com mothersday.vbs fwd: blague |
Lien vers l'original |
|