CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.
Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.
Classe | Email-Worm |
Plateforme | VBS |
Description |
Détails techniquesCe ver Internet se propage via e-mail en envoyant des messages infectés à partir d'ordinateurs affectés. Lors de la propagation, le ver utilise MS Outlook et s'envoie à toutes les adresses qui sont stockées dans le carnet d'adresses MS Outlook. Par conséquent, un ordinateur infecté envoie autant de messages à autant d'adresses stockées dans la liste de contacts MS Outlook. Le ver est écrit dans le langage de script "Visual Basic Script" (VBS). Il fonctionne uniquement sur les ordinateurs sur lesquels Windows Scripting Host (WSH) a été installé. Dans Windows 98 et Windows 2000, WHS est installé par défaut. Pour se propager, le ver accède à MS Outlook et utilise ses fonctions et ses listes d'adresses. Ceci est uniquement disponible dans Outlook 98/2000, de sorte que le ver ne peut se propager que si l'une de ces versions MS Outlook est installée. Lorsqu'il est exécuté, le ver envoie ses copies par e-mail et supprime un cheval de Troie. DiffusionLe ver arrive à un ordinateur sous la forme d'un message électronique avec un fichier VBS joint qui est le ver lui-même. Le message contient les éléments suivants: Le sujet :
Corps du message :
Nom de fichier joint :
Selon les paramètres du système, l'extension réelle du fichier joint (".vbs") peut ne pas s'afficher. Dans ce cas, un nom de fichier du fichier joint est affiché en tant que "TIMOFONICA.TXT". En étant activé par un utilisateur (en double-cliquant sur le fichier joint), le ver ouvre MS Outlook, accède au carnet d'adresses, récupère toutes les adresses et envoie des messages avec sa copie attachée à chacun d'entre eux. L'objet du message, le corps et le nom de fichier joint sont les mêmes que ci-dessus. En outre, dans chaque message infecté envoyé, le ver envoie un autre message à une adresse (numérique) générée de manière aléatoire sur l'hôte "correo.movistar.net", par exemple "639867159@correo.movistar.net". Le message contient les éléments suivants: Sujet :
Corps :
En réalité, le "correo.movistar.net" est un portail SMS qui envoie des messages SMS aux numéros de téléphone. Le numéro est le préfixe de l'adresse e-mail dans le message. En conséquence, le ver essaie de spammer les gens avec des messages SMS. Le ver envoie autant de messages SMS à des numéros sélectionnés au hasard que des e-mails sont stockés dans le carnet d'adresses (le ver envoie un message SMS pour chaque message infecté), en installant également un programme de Troie. Installation d'un programme de TroiePour installer le programme de Troie sur le système, le ver crée un fichier "Cmos.com" dans le répertoire système Windows et écrit un code (stocké dans le corps de vers) dans le fichier. Le ver enregistre ensuite ce fichier dans le registre du système dans la section d'exécution automatique:
Au cours du prochain démarrage de Windows, le cheval de Troie prend le contrôle, efface les informations CMOS et corrompt les informations sur les disques locaux. Le ver crée le fichier "C: TIMOFONICA.TXT" avec le contenu suivant:
Ensuite, le ver modifie le registre système pour afficher ce contenu (dans la fenêtre Bloc-notes) au lieu d'exécuter un fichier VBS. Pour rétablir la fonctionnalité normale pour l'association de fichiers VBS, vous pouvez exécuter la fenêtre Invite de commandes en suivant les instructions: WSCRIPT // H: WSCRIPT |
Lien vers l'original |
|
Découvrez les statistiques de la propagation des menaces dans votre région |