CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

Email-Worm.VBS.Timofonica

Classe Email-Worm
Plateforme VBS
Description

Détails techniques

Ce ver Internet se propage via e-mail en envoyant des messages infectés à partir d'ordinateurs affectés. Lors de la propagation, le ver utilise MS Outlook et s'envoie à toutes les adresses qui sont stockées dans le carnet d'adresses MS Outlook. Par conséquent, un ordinateur infecté envoie autant de messages à autant d'adresses stockées dans la liste de contacts MS Outlook.

Le ver est écrit dans le langage de script "Visual Basic Script" (VBS). Il fonctionne uniquement sur les ordinateurs sur lesquels Windows Scripting Host (WSH) a été installé. Dans Windows 98 et Windows 2000, WHS est installé par défaut. Pour se propager, le ver accède à MS Outlook et utilise ses fonctions et ses listes d'adresses. Ceci est uniquement disponible dans Outlook 98/2000, de sorte que le ver ne peut se propager que si l'une de ces versions MS Outlook est installée.

Lorsqu'il est exécuté, le ver envoie ses copies par e-mail et supprime un cheval de Troie.

Diffusion

Le ver arrive à un ordinateur sous la forme d'un message électronique avec un fichier VBS joint qui est le ver lui-même. Le message contient les éléments suivants:

Le sujet :

TIMOFONICA

Corps du message :

Es de todos ya conocido le monopole de Telefònica pero aucun bronzage conocido les mótodos que l'utilisation par llegar hasta este punto. En ce qui concerne le document, il existe des opinions, des conseils et des informations sur le Web, ainsi que des informations sur des irrégularités, des faits concrets, des faits irrévocables, des actions irréelles, etc. . Explica tambi�n el por qu� del fracaso en Holanda et qu� hizo pour adquirir le portail Lycos. Le contenu de ce site web est disponible en plusieurs langues et contient des commentaires, des informations, des documents, etc. Como comprender�is, esto es muy important, et osgo que reenvi�is este correo a vuestros amigos y conocidos .

Nom de fichier joint :

TIMOFONICA.TXT.vbs

Selon les paramètres du système, l'extension réelle du fichier joint (".vbs") peut ne pas s'afficher. Dans ce cas, un nom de fichier du fichier joint est affiché en tant que "TIMOFONICA.TXT".

En étant activé par un utilisateur (en double-cliquant sur le fichier joint), le ver ouvre MS Outlook, accède au carnet d'adresses, récupère toutes les adresses et envoie des messages avec sa copie attachée à chacun d'entre eux. L'objet du message, le corps et le nom de fichier joint sont les mêmes que ci-dessus.

En outre, dans chaque message infecté envoyé, le ver envoie un autre message à une adresse (numérique) générée de manière aléatoire sur l'hôte "correo.movistar.net", par exemple "639867159@correo.movistar.net". Le message contient les éléments suivants:

Sujet :

TIMOFONICA

Corps :

Informa que: Telef�nica te est� enga�ando.

En réalité, le "correo.movistar.net" est un portail SMS qui envoie des messages SMS aux numéros de téléphone. Le numéro est le préfixe de l'adresse e-mail dans le message.

En conséquence, le ver essaie de spammer les gens avec des messages SMS. Le ver envoie autant de messages SMS à des numéros sélectionnés au hasard que des e-mails sont stockés dans le carnet d'adresses (le ver envoie un message SMS pour chaque message infecté), en installant également un programme de Troie.

Installation d'un programme de Troie

Pour installer le programme de Troie sur le système, le ver crée un fichier "Cmos.com" dans le répertoire système Windows et écrit un code (stocké dans le corps de vers) dans le fichier. Le ver enregistre ensuite ce fichier dans le registre du système dans la section d'exécution automatique:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunCmos = Cmos.com

Au cours du prochain démarrage de Windows, le cheval de Troie prend le contrôle, efface les informations CMOS et corrompt les informations sur les disques locaux.

Le ver crée le fichier "C: TIMOFONICA.TXT" avec le contenu suivant:

Comentarios
…. Tarifa plana de 6000 pts / mes. Extorsi�n. Un principe de 1.998 tras unguguiento de gestión se descubrierón numerosas irregularídas en su gestián, amparadas hasta el momento, en el desconocimiento que nosotros ten�amos sobre Internet. Compras de materiales, que nunca apareci� por ning�n lado, pero si la factura delprededor. …. Yo pienso que si Timofonica (ke un fin de kuentas à la raison de Terra) kiere soltar dineros pour une ONG, aucun hace falta hacer este pointe d'acteur solidario, es mas, moi parece misero et ridikula la kantidad de un millier de pesetas .. Son unos ridicules de mierda, un millon de pesetas pour ellos no es nada, pero un millon de hits en sus paginas mas un final de mes supone una peke�a subidita en las acciones de Terra en Bolsa . Total, ke Terra pas de fils Hermanitas de los Pobres (pobres monjas, kompararlas kon los chupasangres de Timofonica), NI NOSOTROS SEMOS GILIPOLLAS !!! Podran decrir ke estamos obsesionados, ke tamos en kontra de Timofonika, ke protestamos por vicio, PERO ES KE EN 3 ATOS KE LLEVO EN INET SOLO LA HAN KAGADO UNA VEZ TRAS OTRA !! SI ES KE SE LO GANAN A PULSO !! Lo dicho, todo lo ke g # ele un Telefonica SUX, o en castellano tradicional, APESTA! ….

Direcciones
http://www.telefonica.es/
http://www.timofonica.com/
http://100scripts.islaweb.com/scripting-timofonica.html
http://www.labrujula.net/wwwboard/messages2/1165.html
http://www.tinet.org/mllistes/pc/September_1998/msg00005.html
http://area3d.area66.com/forotec/_disc1/0000015b.htm
http://www.itgo.com/Phreaking.htm
http://www.rcua.alcala.es/archives/ham-ea/msg00780.html
http://www.areas.org/debate/dp/2/messages/18.html
http://www.fut.es/mllistes/parlem/January_1999/msg00208.html

Visita estas p�ginas. Est�s inivitado.

Ensuite, le ver modifie le registre système pour afficher ce contenu (dans la fenêtre Bloc-notes) au lieu d'exécuter un fichier VBS.

Pour rétablir la fonctionnalité normale pour l'association de fichiers VBS, vous pouvez exécuter la fenêtre Invite de commandes en suivant les instructions:

 WSCRIPT // H: WSCRIPT 

Lien vers l'original