CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

Email-Worm.Win32.Badass

Classe Email-Worm
Plateforme Win32
Description

Détails techniques

C'est un virus-virus qui se propage via Internet en utilisant MS Outlook. Le ver lui-même est un fichier Windows EXE d'environ 25 Ko de longueur, écrit en VisualBasic. Le ver semble être basé sur le ver de macro-virus "Melissa" – les fonctions et la séquence d'instructions dans le code du ver sont très similaires au code source "Melissa". Il semble que ce ver ait été compilé à partir d'une source "Melissa" légèrement modifiée.

Le ver est transféré via le réseau dans les messages électroniques avec une pièce jointe infectée. La pièce jointe d'origine a le nom BADASS.EXE, mais il est possible de renommer le fichier EXE manuellement, puis il se propager avec un nouveau nom.

Lorsqu'un message infecté est reçu et que le fichier EXE attaché est exécuté, le ver acquiert le contrôle et lance sa routine principale. Cette routine affiche des boîtes de message, puis exécute la routine d'infection qui ouvre la base de données Outlook, obtient des adresses de messagerie à partir du carnet d'adresses et envoie des messages infectés aux adresses trouvées. Le sujet dans les messages infectés contient le texte "Moguh .." et le texte du message est "Dit is wel grappig! :-)".

Le ver n'envoie pas de messages deux fois depuis le même ordinateur. Pour éviter la propagation en double, le ver crée une clé de registre système et la vérifie à chaque démarrage:


HKCUSoftWareVB et VBA Program SeettingsWindowsCurrentVersion
"CMCTL32" = "00 00 00 01"
[Adulte seulement ———————————————– —]

La première boîte de message affichée par le ver apparaît comme suit:


Kernel32
Une erreur est survenue probablement parce que votre c ** t sent
mal. Est-ce vraiment le cas?
[ Oui Non ]

Lorsque le curseur de la souris passe sur le bouton [Non], le ver déplace ce bouton vers la gauche [Oui] et le renvoie quand le curseur de la souris se rapproche du bouton, et ainsi de suite jusqu'à ce que [Oui]:


[ Oui Non ]
[ Non Oui ]
[ Oui Non ]

Le ver ne permet donc pas de cliquer sur le bouton [Non]. Lorsque le bouton [Oui] est enfoncé, le ver affiche un autre message et exécute sa routine d'infection:


WIN32
Contactez votre supermarché local pour le papier toilette et le savon pour
résoudre ce problème.
[ D'ACCORD ]


Lien vers l'original