CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

Email-Worm.VBS.SSIWG

Classe Email-Worm
Plateforme VBS
Description

Détails techniques

C'est un ver Internet "LoveLetter" qui se propage par e-mail en envoyant des messages infectés provenant d'ordinateurs infectés. Lors de la propagation, le ver utilise MS Outlook et s'envoie à toutes les adresses qui sont stockées dans le carnet d'adresses MS Outlook.

La version de ver connue a une erreur (une instruction est mal typée), et le ver n'est pas en mesure de diffuser ses copies via des messages électroniques. En plus de cela, l'erreur peut être facilement réparée, et le ver sera en mesure de se propager.

Le ver est capable de se propager à travers un réseau local. Pour ce faire, le ver énumère les ressources du réseau et s'y copie. Le ver n'est pas capable de s'auto-activer sur un ordinateur distant et l'infecte uniquement dans le cas où la copie du ver est parfois exécutée par un utilisateur.

Le ver lui-même est un programme de script VBS.

Le ver arrive comme un message électronique avec:

Sujet: Je manque U
Corps du message: Pourriez-vous vous souvenir de moi?
Nom de pièce jointe: Y072QWV.VBS

Lorsqu'il est activé par un utilisateur, le ver se copie dans le répertoire système Windows avec le même nom (Y072QWV.VBS) et enregistre cette copie dans la section d'exécution automatique du registre système:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
"Y072QWV" =% Windir% Y072QWV.VBS

où "Windir" est le nom du répertoire système Windows.

Le ver se propage ensuite à travers un réseau local en copiant son fichier "Y072QWV.VBS" dans le répertoire racine des lecteurs partagés pour l'écriture.

Pour envoyer des messages infectés, le ver se connecte à MS Outlook, obtient toutes les adresses du carnet d'adresses et y envoie ses messages (le nom du sujet, du corps et de la pièce jointe sont les mêmes que ceux indiqués ci-dessus).

Étant donné que le ver s'inscrit lui-même dans la section de registre d'exécution automatique, il est activé à chaque démarrage de Windows, mais il ne se propage pas par message électronique chaque fois qu'il est exécuté. Le ver a un compteur qui est stocké dans le registre Windows:

HKEY_LOCAL_MACHINE "Y072QWV" = numéro

où "nombre" est le nombre de départs (à chaque démarrage, le ver augmente ce compteur). Lorsque le compteur atteint 20, le ver le remet à zéro et exécute ensuite une routine d'infection Outlook. Sinon, le ver le saute.

Par conséquent, le ver envoie des messages infectés uniquement lors de la première exécution (en étant activé à partir d'un message infecté) et à chaque redémarrage du 20ème. La routine d'épandage du réseau local est activée à chaque démarrage du ver.

Le ver a une caractéristique qui rend sa détection un peu plus difficile. Toutes les chaînes de texte dans le code du ver sont légèrement cryptées et, en cas de besoin, le ver les déchiffre et les utilise.


Lien vers l'original