CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

Email-Worm.VBS.Potok

Classe Email-Worm
Plateforme VBS
Description

Détails techniques

Il s'agit d'une famille de vers Internet qui se propage par courrier électronique en envoyant des messages infectés provenant d'ordinateurs infectés. Lors de la propagation, les vers utilisent MS Outlook et se dirigent vers des adresses stockées dans le carnet d'adresses MS Outlook.

Les vers sont écrits dans le langage de script "Visual Basic Script" (VBS), et ils ne fonctionnent que sur les ordinateurs sur lesquels Windows Scripting Host (WSH) a été installé. Dans Windows 98 et Windows 2000, WHS est installé par défaut. Pour se propager, les vers accèdent à MS Outlook et utilisent ses fonctions et ses listes d'adresses. Ceci est uniquement disponible dans Outlook 98/2000, de sorte que les vers ne peuvent se propager que lorsqu'une de ces versions MS Outlook est installée.

Le ver arrive à un ordinateur sous la forme d'un message électronique avec un fichier VBS joint qui est le ver lui-même. Le message dans la version du ver d'origine contient:

Le sujet: Nouvelle génération de conducteurs.
Corps du message:

Microsoft hasCards, comp publié un nouveau pilote
pour tous les types de vidéo avec Windows 95/98 / NT / 2000 / XP.
Vous pouvez lire à ce sujet dans le document de pièce jointe.
Meilleurs voeux, Microsoft.

Nom de fichier joint: "driver.doc .vbs"

L'extension de fichier (".vbs") est séparée par beaucoup d'espaces et peut parfois ne pas être affichée.

Selon les paramètres du système, une véritable extension de fichier joint (".vbs") peut ne pas s'afficher. Dans ce cas, le nom de fichier joint-fichier est affiché comme "DRIVER.DOC".

Lorsqu'il est activé par un utilisateur (en double-cliquant sur le fichier joint), le ver crée sa copie exacte dans le répertoire WINDOWS avec le nom "driver.doc .vbs".

Le ver vérifie si le système de fichiers est NTFS, et si ce n'est pas le cas, il se ferme. Si le système de fichiers est NTFS, le ver crée un fichier ODBC.INI dans le répertoire WINDOWS et y associe quatre flux NTFS supplémentaires.

Si le système de fichiers est NTFS, le ver crée un fichier ODBC.INI dans le répertoire WINDOWS et y associe quatre flux NTFS supplémentaires.

groupe – ajoute un utilisateur au système
mail – envoie les copies d'un ver en utilisant Outlook
main – partie principale du ver
utilisateur – ajoute un utilisateur au système

Ensuite, le ver crée un fichier temporaire ("go.vbs"), qui assemble toutes les parties du ver dans un fichier ("notepad.vbs"), et le lance.

La partie du ver lancée à partir de NOTEPAD.VBS envoie sa copie aux 50 premières adresses de messagerie dans le carnet d'adresses Outlook. Après l'envoi, le ver vérifie si le système d'exploitation est Windows 2000, et si c'est le cas, ajoute un nouvel utilisateur avec le nom "Lord_Nikon" au système.


Lien vers l'original