CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

Email-Worm.VBS.Newlove

Classe Email-Worm
Plateforme VBS
Description

Détails techniques

Ceci est une variante extrêmement dangereuse du ver Internet "LoveLetter" . Tout comme avec son précurseur "LoveLetter", le ver "NewLove" est écrit en langage Visual Basic Script et se propage comme un fichier VBS avec un nom aléatoire. Le ver s'installe dans le système, accède au carnet d'adresses MS Outlook et s'envoie à toutes les adresses listées ici.

L'objet du message infecté commence par "FW:" et est complété par un texte aléatoire d'une longueur maximale de 30 caractères et une extension aléatoire de la liste suivante:

Doc, Xls, Mdb, Bmp, Mp3, Txt, Jpg, Gif, Mov, Url, Htm, Txt

���������� ������

Cela sert également de nom au fichier joint, par exemple:

FW: VPAVQXCUUNGUFLTJSLNAUTQZXJUG.Bmp
FW: QKUPLSXOOIBPAGNENGIVPN.Mp3
FW: TNXSOVARRLESDJQHQJLYSQNWV.Mdb
FW: HBLHCJOFFZS.Mdb
FW: MGQMHOTKKEXLWCJAJ.Doc
FW: SMXSNUZRRKDRCJQGPIKXRQNWU.Mdb
FW: CWGCXE.Mp3

Le corps du message est vide et un fichier VBS est attaché avec le même nom de fichier que dans la ligne d'objet, mais avec une extension ".VBS" ajoutée. Selon les paramètres du système, une extension réelle du fichier joint (".vbs") peut ne pas s'afficher. Dans ce cas, le nom de fichier d'un fichier joint est affiché comme indiqué ci-dessus (sans "FW:").

Lorsque le fichier joint est activé (en double-cliquant, par exemple), le ver envoie ses copies à toutes les adresses de la base d'adresses MS Outlook.

Le ver détruit ensuite l'ordinateur. Il analyse tous les lecteurs de disque locaux et mappés et remplace tous les fichiers par sa copie, et ajoute l'extension ".VBS" aux noms de fichiers (par exemple, COMMAND.COM devient COMMAND.COM.VBS). Par conséquent, tous les fichiers sur tous les lecteurs accessibles sont totalement détruits.

Pour cette raison, le ver est capable de se propager une seule fois – il envoie sa copie à toutes les adresses disponibles, puis détruit l'ordinateur.

Le ver est capable de se propager uniquement dans l'instance où MS Outlook est installé dans le système. La routine de charge utile de ver est activée indépendamment du système de messagerie installé sur l'ordinateur. Dans le cas où un autre système de messagerie est installé, le ver n'envoie pas d'e-mails infectés, mais détruit tous les fichiers sur l'ordinateur.

Le ver est polymorphe. À chaque infection, il insère des commentaires aléatoires dans son code. Le ver le fait chaque fois qu'il se propage, et par conséquent, sa taille augmente en fonction de sa génération (environ 60% de la taille actuelle), par exemple:

1ère génération: 110Kb
2ème génération: 248Kb
3ème génération: 403Kb
4ème génération: 585Kb
5ème génération: 805Kb
6ème génération: 1040Kb
etc

Le code du ver "pur" est d'environ 5Kb.

La protection de ce type de vers a déjà été lancée par Kaspersky. Le "AVP Script Checker" protège le système contre le nouveau ver et empêche l'infection. Nous vous recommandons fortement de télécharger "AVP Script Checker" sur nos sites Web de Kasperky Lab.


Lien vers l'original