CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

Email-Worm.Win32.Android

Classe Email-Worm
Plateforme Win32
Description

Détails techniques

Il s'agit d'un virus-virus qui se propage via des canaux Internet en étant joint à des messages électroniques sous la forme du fichier exécutable Windows ULTRA.EXE. Ce ver est lié à I-Worm_Suppl .

Le ver a une charge utile très dangereuse: dans la semaine suivant l'infection de l'ordinateur, le ver efface les fichiers avec les extensions suivantes sur les lecteurs locaux et distants: ICO, DOC, TXT, HTM, JPG, GIF, ZIP, RAR. La méthode d'effacement est la même que celle utilisée par le ver I-Worm_ZippedFiles , et les fichiers endommagés ne sont pas récupérables.

Le 5 de chaque mois, le ver dépose un fichier ANDROID.BMP contenant le texte "ANDROID" et l'enregistre dans le système en tant que fond d'écran.

Installation

Lorsqu'un fichier ULTRA.EXE est activé par un utilisateur, le virus gagne le contrôle et s'installe dans le système; se copie dans le répertoire système Windows avec le nom ANDROID.DLL; puis supprime son composant DLL (qui est stocké dans le fichier EXE) dans le même répertoire avec le nom ULTRA.DLL.

Le ver ajoute ensuite des instructions de renommage au fichier WININIT.INI. Ces instructions renommez WSOCK32.DLL avec le nom WSOCK33.DLL et remplacez le WSOCK32.DLL par la bibliothèque ULTRA.DLL du ver. Cette astuce oblige Windows à remplacer son WSOCK32.DLL par une copie de ver au prochain redémarrage de Windows.

Lors de l'initialisation de ses DLL, Windows charge une DLL infectée (ver) à la place des DLL d'origine et, par conséquent, le ver accède aux fonctions réseau.

Diffusion

Lors du prochain redémarrage de Windows, le fichier WSOCK32.DLL infecté est chargé dans la mémoire du système et prend le contrôle. Le ver à ce moment obtient l'accès et intercepte toutes les fonctions de bibliothèque nécessaires à la bibliothèque WSOCK32 d'origine. Pour tous sauf deux, le ver transfère simplement les requêtes vers les fonctions d'origine, et à cette fin, le ver charge également le fichier WSOCK33.DLL (bibliothèque d'origine) dans la mémoire de Windows.

Les deux fonctions sont traitées par le virus: leurs noms sont "envoyer" et "se connecter". En utilisant ces fonctions, le ver intercepte les e-mails et joint sa copie à ces e-mails en tant que fichier ULTRA.EXE.


Lien vers l'original