Kaspersky Threats — Timofonica

Classe

Plateforme

Description

Détails techniques

Ce ver Internet se propage via e-mail en envoyant des messages infectés à partir d'ordinateurs affectés. Lors de la propagation, le ver utilise MS Outlook et s'envoie à toutes les adresses qui sont stockées dans le carnet d'adresses MS Outlook. Par conséquent, un ordinateur infecté envoie autant de messages à autant d'adresses stockées dans la liste de contacts MS Outlook.

Le ver est écrit dans le langage de script "Visual Basic Script" (VBS). Il fonctionne uniquement sur les ordinateurs sur lesquels Windows Scripting Host (WSH) a été installé. Dans Windows 98 et Windows 2000, WHS est installé par défaut. Pour se propager, le ver accède à MS Outlook et utilise ses fonctions et ses listes d'adresses. Ceci est uniquement disponible dans Outlook 98/2000, de sorte que le ver ne peut se propager que si l'une de ces versions MS Outlook est installée.

Lorsqu'il est exécuté, le ver envoie ses copies par e-mail et supprime un cheval de Troie.

Diffusion

Le ver arrive à un ordinateur sous la forme d'un message électronique avec un fichier VBS joint qui est le ver lui-même. Le message contient les éléments suivants:

Le sujet :

TIMOFONICA

Corps du message :

Es de todos ya conocido le monopole de Telefònica pero aucun bronzage conocido les mótodos que l'utilisation par llegar hasta este punto. En ce qui concerne le document, il existe des opinions, des conseils et des informations sur le Web, ainsi que des informations sur des irrégularités, des faits concrets, des faits irrévocables, des actions irréelles, etc. . Explica tambi�n el por qu� del fracaso en Holanda et qu� hizo pour adquirir le portail Lycos. Le contenu de ce site web est disponible en plusieurs langues et contient des commentaires, des informations, des documents, etc. Como comprender�is, esto es muy important, et osgo que reenvi�is este correo a vuestros amigos y conocidos .

Nom de fichier joint :

TIMOFONICA.TXT.vbs

Selon les paramètres du système, l'extension réelle du fichier joint (".vbs") peut ne pas s'afficher. Dans ce cas, un nom de fichier du fichier joint est affiché en tant que "TIMOFONICA.TXT".

En étant activé par un utilisateur (en double-cliquant sur le fichier joint), le ver ouvre MS Outlook, accède au carnet d'adresses, récupère toutes les adresses et envoie des messages avec sa copie attachée à chacun d'entre eux. L'objet du message, le corps et le nom de fichier joint sont les mêmes que ci-dessus.

En outre, dans chaque message infecté envoyé, le ver envoie un autre message à une adresse (numérique) générée de manière aléatoire sur l'hôte "correo.movistar.net", par exemple "639867159@correo.movistar.net". Le message contient les éléments suivants:

Sujet :

TIMOFONICA

Corps :

Informa que: Telef�nica te est� enga�ando.

En réalité, le "correo.movistar.net" est un portail SMS qui envoie des messages SMS aux numéros de téléphone. Le numéro est le préfixe de l'adresse e-mail dans le message.

En conséquence, le ver essaie de spammer les gens avec des messages SMS. Le ver envoie autant de messages SMS à des numéros sélectionnés au hasard que des e-mails sont stockés dans le carnet d'adresses (le ver envoie un message SMS pour chaque message infecté), en installant également un programme de Troie.

Installation d'un programme de Troie

Pour installer le programme de Troie sur le système, le ver crée un fichier "Cmos.com" dans le répertoire système Windows et écrit un code (stocké dans le corps de vers) dans le fichier. Le ver enregistre ensuite ce fichier dans le registre du système dans la section d'exécution automatique:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunCmos = Cmos.com

Au cours du prochain démarrage de Windows, le cheval de Troie prend le contrôle, efface les informations CMOS et corrompt les informations sur les disques locaux.

Le ver crée le fichier "C: TIMOFONICA.TXT" avec le contenu suivant:

Comentarios
…. Tarifa plana de 6000 pts / mes. Extorsi�n. Un principe de 1.998 tras unguguiento de gestión se descubrierón numerosas irregularídas en su gestián, amparadas hasta el momento, en el desconocimiento que nosotros ten�amos sobre Internet. Compras de materiales, que nunca apareci� por ning�n lado, pero si la factura delprededor. …. Yo pienso que si Timofonica (ke un fin de kuentas à la raison de Terra) kiere soltar dineros pour une ONG, aucun hace falta hacer este pointe d'acteur solidario, es mas, moi parece misero et ridikula la kantidad de un millier de pesetas .. Son unos ridicules de mierda, un millon de pesetas pour ellos no es nada, pero un millon de hits en sus paginas mas un final de mes supone una peke�a subidita en las acciones de Terra en Bolsa . Total, ke Terra pas de fils Hermanitas de los Pobres (pobres monjas, kompararlas kon los chupasangres de Timofonica), NI NOSOTROS SEMOS GILIPOLLAS !!! Podran decrir ke estamos obsesionados, ke tamos en kontra de Timofonika, ke protestamos por vicio, PERO ES KE EN 3 ATOS KE LLEVO EN INET SOLO LA HAN KAGADO UNA VEZ TRAS OTRA !! SI ES KE SE LO GANAN A PULSO !! Lo dicho, todo lo ke g # ele un Telefonica SUX, o en castellano tradicional, APESTA! ….

Direcciones
http://www.telefonica.es/
http://www.timofonica.com/
http://100scripts.islaweb.com/scripting-timofonica.html
http://www.labrujula.net/wwwboard/messages2/1165.html
http://www.tinet.org/mllistes/pc/September_1998/msg00005.html
http://area3d.area66.com/forotec/_disc1/0000015b.htm
http://www.itgo.com/Phreaking.htm
http://www.rcua.alcala.es/archives/ham-ea/msg00780.html
http://www.areas.org/debate/dp/2/messages/18.html
http://www.fut.es/mllistes/parlem/January_1999/msg00208.html

Visita estas p�ginas. Est�s inivitado.

Ensuite, le ver modifie le registre système pour afficher ce contenu (dans la fenêtre Bloc-notes) au lieu d'exécuter un fichier VBS.

Pour rétablir la fonctionnalité normale pour l'association de fichiers VBS, vous pouvez exécuter la fenêtre Invite de commandes en suivant les instructions:

 WSCRIPT // H: WSCRIPT

Lien vers l'original

Classe	Email-Worm
Plateforme	VBS
Description	Détails techniques Ce ver Internet se propage via e-mail en envoyant des messages infectés à partir d'ordinateurs affectés. Lors de la propagation, le ver utilise MS Outlook et s'envoie à toutes les adresses qui sont stockées dans le carnet d'adresses MS Outlook. Par conséquent, un ordinateur infecté envoie autant de messages à autant d'adresses stockées dans la liste de contacts MS Outlook. Le ver est écrit dans le langage de script "Visual Basic Script" (VBS). Il fonctionne uniquement sur les ordinateurs sur lesquels Windows Scripting Host (WSH) a été installé. Dans Windows 98 et Windows 2000, WHS est installé par défaut. Pour se propager, le ver accède à MS Outlook et utilise ses fonctions et ses listes d'adresses. Ceci est uniquement disponible dans Outlook 98/2000, de sorte que le ver ne peut se propager que si l'une de ces versions MS Outlook est installée. Lorsqu'il est exécuté, le ver envoie ses copies par e-mail et supprime un cheval de Troie. Diffusion Le ver arrive à un ordinateur sous la forme d'un message électronique avec un fichier VBS joint qui est le ver lui-même. Le message contient les éléments suivants: Le sujet : TIMOFONICA Corps du message : Es de todos ya conocido le monopole de Telefònica pero aucun bronzage conocido les mótodos que l'utilisation par llegar hasta este punto. En ce qui concerne le document, il existe des opinions, des conseils et des informations sur le Web, ainsi que des informations sur des irrégularités, des faits concrets, des faits irrévocables, des actions irréelles, etc. . Explica tambi�n el por qu� del fracaso en Holanda et qu� hizo pour adquirir le portail Lycos. Le contenu de ce site web est disponible en plusieurs langues et contient des commentaires, des informations, des documents, etc. Como comprender�is, esto es muy important, et osgo que reenvi�is este correo a vuestros amigos y conocidos . Nom de fichier joint : TIMOFONICA.TXT.vbs Selon les paramètres du système, l'extension réelle du fichier joint (".vbs") peut ne pas s'afficher. Dans ce cas, un nom de fichier du fichier joint est affiché en tant que "TIMOFONICA.TXT". En étant activé par un utilisateur (en double-cliquant sur le fichier joint), le ver ouvre MS Outlook, accède au carnet d'adresses, récupère toutes les adresses et envoie des messages avec sa copie attachée à chacun d'entre eux. L'objet du message, le corps et le nom de fichier joint sont les mêmes que ci-dessus. En outre, dans chaque message infecté envoyé, le ver envoie un autre message à une adresse (numérique) générée de manière aléatoire sur l'hôte "correo.movistar.net", par exemple "639867159@correo.movistar.net". Le message contient les éléments suivants: Sujet : TIMOFONICA Corps : Informa que: Telef�nica te est� enga�ando. En réalité, le "correo.movistar.net" est un portail SMS qui envoie des messages SMS aux numéros de téléphone. Le numéro est le préfixe de l'adresse e-mail dans le message. En conséquence, le ver essaie de spammer les gens avec des messages SMS. Le ver envoie autant de messages SMS à des numéros sélectionnés au hasard que des e-mails sont stockés dans le carnet d'adresses (le ver envoie un message SMS pour chaque message infecté), en installant également un programme de Troie. Installation d'un programme de Troie Pour installer le programme de Troie sur le système, le ver crée un fichier "Cmos.com" dans le répertoire système Windows et écrit un code (stocké dans le corps de vers) dans le fichier. Le ver enregistre ensuite ce fichier dans le registre du système dans la section d'exécution automatique: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunCmos = Cmos.com Au cours du prochain démarrage de Windows, le cheval de Troie prend le contrôle, efface les informations CMOS et corrompt les informations sur les disques locaux. Le ver crée le fichier "C: TIMOFONICA.TXT" avec le contenu suivant: *Comentarios* …. Tarifa plana de 6000 pts / mes. Extorsi�n. Un principe de 1.998 tras unguguiento de gestión se descubrierón numerosas irregularídas en su gestián, amparadas hasta el momento, en el desconocimiento que nosotros ten�amos sobre Internet. Compras de materiales, que nunca apareci� por ning�n lado, pero si la factura delprededor. …. Yo pienso que si Timofonica (ke un fin de kuentas à la raison de Terra) kiere soltar dineros pour une ONG, aucun hace falta hacer este pointe d'acteur solidario, es mas, moi parece misero et ridikula la kantidad de un millier de pesetas .. Son unos ridicules de mierda, un millon de pesetas pour ellos no es nada, pero un millon de hits en sus paginas mas un final de mes supone una peke�a subidita en las acciones de Terra en Bolsa . Total, ke Terra pas de fils Hermanitas de los Pobres (pobres monjas, kompararlas kon los chupasangres de Timofonica), NI NOSOTROS SEMOS GILIPOLLAS !!! Podran decrir ke estamos obsesionados, ke tamos en kontra de Timofonika, ke protestamos por vicio, PERO ES KE EN 3 ATOS KE LLEVO EN INET SOLO LA HAN KAGADO UNA VEZ TRAS OTRA !! SI ES KE SE LO GANAN A PULSO !! Lo dicho, todo lo ke g # ele un Telefonica SUX, o en castellano tradicional, APESTA! …. Direcciones http://www.telefonica.es/ http://www.timofonica.com/ http://100scripts.islaweb.com/scripting-timofonica.html http://www.labrujula.net/wwwboard/messages2/1165.html http://www.tinet.org/mllistes/pc/September_1998/msg00005.html http://area3d.area66.com/forotec/_disc1/0000015b.htm http://www.itgo.com/Phreaking.htm http://www.rcua.alcala.es/archives/ham-ea/msg00780.html http://www.areas.org/debate/dp/2/messages/18.html http://www.fut.es/mllistes/parlem/January_1999/msg00208.html Visita estas p�ginas. Est�s inivitado. Ensuite, le ver modifie le registre système pour afficher ce contenu (dans la fenêtre Bloc-notes) au lieu d'exécuter un fichier VBS. Pour rétablir la fonctionnalité normale pour l'association de fichiers VBS, vous pouvez exécuter la fenêtre Invite de commandes en suivant les instructions: WSCRIPT // H: WSCRIPT
	Lien vers l'original

Email-Worm.VBS.Timofonica

Détails techniques

Diffusion

Installation d'un programme de Troie