CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

Email-Worm.Win32.Adrenaline

Classe Email-Worm
Plateforme Win32
Description

Détails techniques

Ceci est un virus-virus qui infecte les systèmes Windows et se propage via les canaux IRC. Le ver lui-même est un fichier exécutable Windows, écrit en MS Visual C ++ et compressé par PECompact (la taille compressée est d'environ 35K, la taille non compressée est d'environ 65K).

Lorsqu'un fichier infecté est exécuté, il recherche les fichiers EXE dans le répertoire Windows et les infecte. Lors de l'infection, le virus déplace le corps du fichier de 35 Ko, puis il écrit lui-même en haut du fichier. Pour libérer le contrôle du fichier hôte, le virus "désinfecte" le fichier hôte à HOSTFILE.EXE, le génère et le supprime ensuite. Le virus fait attention aux noms de fichiers et n'infecte pas un fichier si son nom commence par 'E', 'P', 'R', 'T', 'W' ou si la 3ème lettre est 'D' ou 5ème lettre est 'R'.

Le virus infecte également les fichiers EXE dans le répertoire C: MIRCDOWNLOAD, sans prêter attention aux noms de fichiers.

Pour se propager via des canaux IRC, le virus supprime son image "pure" dans le répertoire système Windows avec le nom BUGFIX.EXE et écrase le fichier SCRIPT.INI dans le répertoire client mIRC. Le fichier SCRIPT.INI infecté contient une seule instruction qui envoie le fichier BUGFIX.EXE à tous ceux qui rejoignent le canal IRC infecté.

Le virus recherche le client mIRC dans les répertoires MIRC et PROGRA ~ 1MIRC sur tous les lecteurs de C: à F :.

Le virus exécute ensuite une autre routine qui envoie des messages en utilisant MS Outlook. Le virus ne se propage pas dans les messages infectés, mais simplement spams l'adresse "Rhape79@ultimatechaos.demon.co.uk" avec des messages qui ont un objet et un corps générés aléatoirement. À chaque exécution, le virus envoie 15 messages à cette adresse.


Lien vers l'original