Kaspersky Threats

Classe

Plateforme

Description

Détails techniques

Ce ver Internet se propage via des messages e-mail et se transmet à partir de PC infectés lorsqu'il est activé. Il utilise le système de messagerie Microsoft Outlook pour s'envoyer aux destinataires, dont les e-mails sont stockés dans le carnet d'adresses Outlook.

Le ver est écrit en langage de programmation Visual Basic Script (VBS). Il fonctionne uniquement sous les systèmes d'exploitation avec Windows Scripting Host installé (WSH est installé par défaut dans Windows 98 et Windows 2000).

Le ver utilise un fichier PDF en tant qu'hôte. Le code du virus est inclus dans ce fichier en tant qu'objet incorporé et le ver peut être activé uniquement manuellement.

Lorsqu'un fichier PDF est ouvert par le programme Adobe Acrobat (le ver ne fonctionne pas dans Acrobat Reader), un utilisateur peut jouer à un jeu simple, qui est stocké dans un objet incorporé.

Une fois l'objet incorporé activé, le programme Adobe Acrobat (http://www.adobe.com/acrobat) extrait le code VBS, l'écrit dans un dossier temporaire et le lance.

Le code du virus crée un fichier JPG sur un disque et le montre en utilisant Internet Explorer.

Ensuite, le ver tente de trouver son fichier PDF hôte sur le disque et, s'il trouve le fichier, l'envoie aux destinataires spécifiés dans le carnet d'adresses Outlook.

Pour l'envoi lui-même, le ver choisit au hasard un nom de pièce jointe, un sujet de message et un corps.

Le sujet du message peut contenir les chaînes suivantes:

"Vous avez une minute pour trouver la pêche"
"Trouver la pêche"
"Trouver"
"Pêche"
"Blague"

Le sujet peut également contenir le préfixe "FW:" et un point d'exclamation à la fin de celui-ci.

Le corps du message est assemblé à partir des phrases suivantes:

"Essayez de trouver la pêche"
"Essaye ça"
"Recherche intéressante"
"Je n'envoie généralement pas ces choses, mais …"

Le nom de pièce jointe peut être le suivant:

"find.pdf"
"peach.pdf"
"trouver le peach.pdf"
"find_the_peach.pdf"
"joke.pdf"
"search.pdf"

Le ver utilise un algorithme très complexe pour s'envoyer, ce qui fait que le ver ne s'envoie pas du tout.

Lien vers l'original

Découvrez les statistiques de la propagation des menaces dans votre région

Classe	Email-Worm
Plateforme	VBS
Description	Détails techniques Ce ver Internet se propage via des messages e-mail et se transmet à partir de PC infectés lorsqu'il est activé. Il utilise le système de messagerie Microsoft Outlook pour s'envoyer aux destinataires, dont les e-mails sont stockés dans le carnet d'adresses Outlook. Le ver est écrit en langage de programmation Visual Basic Script (VBS). Il fonctionne uniquement sous les systèmes d'exploitation avec Windows Scripting Host installé (WSH est installé par défaut dans Windows 98 et Windows 2000). Le ver utilise un fichier PDF en tant qu'hôte. Le code du virus est inclus dans ce fichier en tant qu'objet incorporé et le ver peut être activé uniquement manuellement. Lorsqu'un fichier PDF est ouvert par le programme Adobe Acrobat (le ver ne fonctionne pas dans Acrobat Reader), un utilisateur peut jouer à un jeu simple, qui est stocké dans un objet incorporé. Une fois l'objet incorporé activé, le programme Adobe Acrobat (http://www.adobe.com/acrobat) extrait le code VBS, l'écrit dans un dossier temporaire et le lance. Le code du virus crée un fichier JPG sur un disque et le montre en utilisant Internet Explorer. Ensuite, le ver tente de trouver son fichier PDF hôte sur le disque et, s'il trouve le fichier, l'envoie aux destinataires spécifiés dans le carnet d'adresses Outlook. Pour l'envoi lui-même, le ver choisit au hasard un nom de pièce jointe, un sujet de message et un corps. Le sujet du message peut contenir les chaînes suivantes: "Vous avez une minute pour trouver la pêche" "Trouver la pêche" "Trouver" "Pêche" "Blague" Le sujet peut également contenir le préfixe "FW:" et un point d'exclamation à la fin de celui-ci. Le corps du message est assemblé à partir des phrases suivantes: "Essayez de trouver la pêche" "Essaye ça" "Recherche intéressante" "Je n'envoie généralement pas ces choses, mais …" Le nom de pièce jointe peut être le suivant: "find.pdf" "peach.pdf" "trouver le peach.pdf" "find_the_peach.pdf" "joke.pdf" "search.pdf" Le ver utilise un algorithme très complexe pour s'envoyer, ce qui fait que le ver ne s'envoie pas du tout.
	Lien vers l'original
	Découvrez les statistiques de la propagation des menaces dans votre région

Email-Worm.VBS.Peach

Détails techniques