Classe pour les parents: VirWare
Les virus et les vers sont des programmes malveillants qui s'auto-répliquent sur des ordinateurs ou via des réseaux informatiques sans que l'utilisateur en soit conscient; chaque copie ultérieure de tels programmes malveillants est également capable de s'autoreproduire. Les programmes malveillants qui se propagent via des réseaux ou infectent des machines distantes lorsque le "propriétaire" (par exemple Backdoors) ou les programmes qui créent plusieurs copies qui ne peuvent pas s'auto-répliquer ne font pas partie de la sous-classe Virus and Worms. La caractéristique principale utilisée pour déterminer si un programme est classé comme un comportement distinct dans la sous-classe Virus and Worms est la manière dont le programme se propage (c'est-à-dire comment le programme malveillant répand des copies de lui-même via des ressources locales ou réseau). en tant que fichiers envoyés en pièces jointes, via un lien vers une ressource Web ou FTP, via un lien envoyé dans un message ICQ ou IRC, via des réseaux de partage de fichiers P2P, etc. Certains vers se propagent sous la forme de paquets réseau; ceux-ci pénètrent directement dans la mémoire de l'ordinateur et le code du ver est alors activé. Worms utilise les techniques suivantes pour pénétrer des ordinateurs distants et lancer des copies d'eux-mêmes: ingénierie sociale (par exemple, un message électronique suggérant que l'utilisateur ouvre un fichier joint), exploitation des erreurs de configuration réseau (par exemple copie sur disque entièrement accessible) failles dans la sécurité du système d'exploitation et des applications. Les virus peuvent être divisés en fonction de la méthode utilisée pour infecter un ordinateur: virus de fichiers virus du secteur de démarrage virus de script virus de virus Tous les programmes de cette sous-classe peuvent avoir des fonctions de Troie supplémentaires. Il convient également de noter que de nombreux vers utilisent plus d'une méthode pour diffuser des copies via des réseaux. Les règles de classification des objets détectés avec des fonctions multiples doivent être utilisées pour classer ces types de vers.Classe: Email-Worm
Email-Worms propagation par e-mail. Le ver envoie une copie de lui-même en pièce jointe à un message électronique ou un lien vers son fichier sur une ressource réseau (par exemple, une URL vers un fichier infecté sur un site Web compromis ou un site Web appartenant à un pirate). Dans le premier cas, le code du ver est activé lorsque la pièce jointe infectée est ouverte (lancée). Dans le second cas, le code est activé lorsque le lien vers le fichier infecté est ouvert. Dans les deux cas, le résultat est le même: le code du ver est activé. Email-Worms utilise une gamme de méthodes pour envoyer des emails infectés. Les plus courantes sont: l'utilisation d'une connexion directe à un serveur SMTP à l'aide du répertoire de messagerie intégré dans le code du ver en utilisant les services MS Outlook à l'aide des fonctions Windows MAPI. Email-Worms utilisent un certain nombre de sources différentes pour trouver les adresses email auxquelles les emails infectés seront envoyés: le carnet d'adresses dans MS Outlook une base de données d'adresses WAB .txt fichiers stockés sur le disque dur: le ver peut identifier les chaînes dans les fichiers texte Les e-mails adressent des e-mails dans la boîte de réception (certains e-mails peuvent même répondre aux e-mails trouvés dans la boîte de réception) De nombreux vers de messagerie utilisent plus d'une des sources répertoriées ci-dessus. Il existe également d'autres sources d'adresses électroniques, telles que les carnets d'adresses associés aux services de messagerie Web.Plus d'informations
Plateforme: VBS
Visual Basic Scripting Edition (VBScript) est un langage de script interprété par Windows Script Host. VBScript est largement utilisé pour créer des scripts sur les systèmes d'exploitation Microsoft Windows.Description
Détails techniques
Ce ver Internet se propage via e-mail en envoyant des messages infectés à partir d'ordinateurs affectés. Lors de la propagation, le ver utilise MS Outlook et s'envoie à toutes les adresses qui sont stockées dans le carnet d'adresses MS Outlook. Par conséquent, un ordinateur infecté envoie autant de messages à autant d'adresses stockées dans la liste de contacts MS Outlook.
Le ver est écrit dans le langage de script "Visual Basic Script" (VBS). Il fonctionne uniquement sur les ordinateurs sur lesquels Windows Scripting Host (WSH) a été installé. Dans Windows 98 et Windows 2000, WHS est installé par défaut. Pour se propager, le ver accède à MS Outlook et utilise ses fonctions et ses listes d'adresses. Ceci est uniquement disponible dans Outlook 98/2000, de sorte que le ver ne peut se propager que si l'une de ces versions MS Outlook est installée.
Lorsqu'il est exécuté, le ver envoie ses copies par e-mail et supprime un cheval de Troie.
Diffusion
Le ver arrive à un ordinateur sous la forme d'un message électronique avec un fichier VBS joint qui est le ver lui-même. Le message contient les éléments suivants:
Le sujet :
TIMOFONICA
Corps du message :
Es de todos ya conocido le monopole de Telefònica pero aucun bronzage conocido les mótodos que l'utilisation par llegar hasta este punto. En ce qui concerne le document, il existe des opinions, des conseils et des informations sur le Web, ainsi que des informations sur des irrégularités, des faits concrets, des faits irrévocables, des actions irréelles, etc. . Explica tambi�n el por qu� del fracaso en Holanda et qu� hizo pour adquirir le portail Lycos. Le contenu de ce site web est disponible en plusieurs langues et contient des commentaires, des informations, des documents, etc. Como comprender�is, esto es muy important, et osgo que reenvi�is este correo a vuestros amigos y conocidos .
Nom de fichier joint :
TIMOFONICA.TXT.vbs
Selon les paramètres du système, l'extension réelle du fichier joint (".vbs") peut ne pas s'afficher. Dans ce cas, un nom de fichier du fichier joint est affiché en tant que "TIMOFONICA.TXT".
En étant activé par un utilisateur (en double-cliquant sur le fichier joint), le ver ouvre MS Outlook, accède au carnet d'adresses, récupère toutes les adresses et envoie des messages avec sa copie attachée à chacun d'entre eux. L'objet du message, le corps et le nom de fichier joint sont les mêmes que ci-dessus.
En outre, dans chaque message infecté envoyé, le ver envoie un autre message à une adresse (numérique) générée de manière aléatoire sur l'hôte "correo.movistar.net", par exemple "639867159@correo.movistar.net". Le message contient les éléments suivants:
Sujet :
TIMOFONICA
Corps :
Informa que: Telef�nica te est� enga�ando.
En réalité, le "correo.movistar.net" est un portail SMS qui envoie des messages SMS aux numéros de téléphone. Le numéro est le préfixe de l'adresse e-mail dans le message.
En conséquence, le ver essaie de spammer les gens avec des messages SMS. Le ver envoie autant de messages SMS à des numéros sélectionnés au hasard que des e-mails sont stockés dans le carnet d'adresses (le ver envoie un message SMS pour chaque message infecté), en installant également un programme de Troie.
Installation d'un programme de Troie
Pour installer le programme de Troie sur le système, le ver crée un fichier "Cmos.com" dans le répertoire système Windows et écrit un code (stocké dans le corps de vers) dans le fichier. Le ver enregistre ensuite ce fichier dans le registre du système dans la section d'exécution automatique:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunCmos = Cmos.com
Au cours du prochain démarrage de Windows, le cheval de Troie prend le contrôle, efface les informations CMOS et corrompt les informations sur les disques locaux.
Le ver crée le fichier "C: TIMOFONICA.TXT" avec le contenu suivant:
Ensuite, le ver modifie le registre système pour afficher ce contenu (dans la fenêtre Bloc-notes) au lieu d'exécuter un fichier VBS. Pour rétablir la fonctionnalité normale pour l'association de fichiers VBS, vous pouvez exécuter la fenêtre Invite de commandes en suivant les instructions:Comentarios
.... Tarifa plana de 6000 pts / mes. Extorsi�n. Un principe de 1.998 tras unguguiento de gestión se descubrierón numerosas irregularídas en su gestián, amparadas hasta el momento, en el desconocimiento que nosotros ten�amos sobre Internet. Compras de materiales, que nunca apareci� por ning�n lado, pero si la factura delprededor. .... Yo pienso que si Timofonica (ke un fin de kuentas à la raison de Terra) kiere soltar dineros pour une ONG, aucun hace falta hacer este pointe d'acteur solidario, es mas, moi parece misero et ridikula la kantidad de un millier de pesetas .. Son unos ridicules de mierda, un millon de pesetas pour ellos no es nada, pero un millon de hits en sus paginas mas un final de mes supone una peke�a subidita en las acciones de Terra en Bolsa . Total, ke Terra pas de fils Hermanitas de los Pobres (pobres monjas, kompararlas kon los chupasangres de Timofonica), NI NOSOTROS SEMOS GILIPOLLAS !!! Podran decrir ke estamos obsesionados, ke tamos en kontra de Timofonika, ke protestamos por vicio, PERO ES KE EN 3 ATOS KE LLEVO EN INET SOLO LA HAN KAGADO UNA VEZ TRAS OTRA !! SI ES KE SE LO GANAN A PULSO !! Lo dicho, todo lo ke g # ele un Telefonica SUX, o en castellano tradicional, APESTA! ....Direcciones
http://www.telefonica.es/
http://www.timofonica.com/
http://100scripts.islaweb.com/scripting-timofonica.html
http://www.labrujula.net/wwwboard/messages2/1165.html
http://www.tinet.org/mllistes/pc/September_1998/msg00005.html
http://area3d.area66.com/forotec/_disc1/0000015b.htm
http://www.itgo.com/Phreaking.htm
http://www.rcua.alcala.es/archives/ham-ea/msg00780.html
http://www.areas.org/debate/dp/2/messages/18.html
http://www.fut.es/mllistes/parlem/January_1999/msg00208.html
Visita estas p�ginas. Est�s inivitado.
WSCRIPT // H: WSCRIPT
En savoir plus
Découvrez les statistiques de la propagation des vulnérabilités dans votre région statistics.securelist.com