CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.
Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.
Classe | Email-Worm |
Plateforme | Win32 |
Description |
Détails techniquesC'est un ver qui se propage sous les systèmes Win32. Le virus envoie des messages électroniques avec des fichiers infectés joints, et installe un composant de Troie d'espionnage pour dérober des informations des systèmes infectés. Le ver a été découvert à l'état sauvage en novembre 2001. Le ver lui-même est un fichier exécutable Win32 (fichier PE EXE). Il a été trouvé dans la nature sous forme comprimée et mesure environ 29Kb. Après avoir été décompressé, la taille du fichier de ver devient d'environ 60Kb. Le ver se compose de deux composants principaux, le ver et le cheval de Troie. Le composant «Worm» envoie des messages infectés et le composant «Trojan» envoie des informations (informations de l'utilisateur, données RAS, mots de passe mis en cache, journal du clavier) des ordinateurs infectés à une adresse de messagerie spécifiée. Il garde également un corps de programme "keylogger" dans son code, et l'installe dans le système tout en infectant une nouvelle machine. Infecter le système Lorsqu'un fichier infecté est exécuté (lorsqu'un utilisateur clique sur un fichier joint et l'active, ou si le ver obtient le contrôle via une faille de sécurité IFRAME), le code du ver gagne le contrôle. Tout d'abord, il dépose (installe) ses composants sur le système et s'enregistre dans le registre du système. Le nom de fichier cheval de Troie installé, le répertoire cible et la clé de registre sont facultatifs. Ils sont stockés sous forme cryptée dans le fichier cheval de Troie à la fin du fichier. Un pirate peut les configurer avant de les envoyer à la machine d'une victime, ou avant de les mettre sur un site Web. Le ver dépose également un talonneur de clavier supplémentaire (fichier DLL Win32) sur le système, puis l'utilise pour espionner le texte entré par un clavier. Le nom du fichier DLL est également facultatif. D'autres fonctionnalités optionnelles sont:
Diffusion Pour envoyer des messages infectés, le ver utilise une connexion directe à un serveur SMTP. Les adresses e-mail d'une victime sont obtenues de deux manières différentes:
Ensuite, le ver envoie des messages infectés. Le corps du message contient du format HTML et utilise une violation IFRAME pour générer une pièce jointe infectée sur des machines vulnérables. Les champs de message sont les suivants:
Spying Trojan Cette routine stocke les informations volées dans un fichier journal (avec un nom facultatif) et chiffre ces informations avec une clé (également facultative). Après un certain temps, ces informations sont envoyées à l'une des adresses électroniques choisies au hasard. Une liste de ces adresses apparaît ci-dessous; la liste contient 22 adresses et serveurs de messagerie; et ces messages sont envoyés via (email + serveur): ZVDOHYIK@yahoo.com mx2.mail.yahoo.com udtzqccc@yahoo.com mx2.mail.yahoo.com DTCELACB@yahoo.com mx2.mail.yahoo.com I1MCH2TH@yahoo.com mx2.mail.yahoo.com WPADJQ12@yahoo.com mx2.mail.yahoo.com fjshd@rambler.ru mail5.rambler.ru smr@eurosport.com mail.ifrance.com bgnd2@canada.com mail.canada.com muwripa@fairesuivre.com fs.cpio.com rmxqpey@latemodels.com inbound.latemodels.com.criticalpath.net eccles@ballsy.net inbound.ballsy.net.criticalpath.net suck_my_prick@ijustgotfired.com mail.monkeybrains.net suck_my_prick4@ukr.net mail.ukr.net thisisno_fucking_good@usa.com usa-com.mr.outblaze.com S_Mentis@mail-x-change.com mail-fwd.rapidsite.net YJPFJTGZ@excite.com mta.excite.com JGQZCD@excite.com mta.excite.com XHZJ3@excite.com mta.excite.com OZUNYLRL@excite.com mta.excite.com tsnlqd@excite.com mta.excite.com cxkawog@krovatka.net imap.front.ru ssdn@myrealbox.com smtp.myrealbox.com Trouvé dans le sauvage Cette variante de ver trouvée dans la nature le 24 novembre 2001 offre les options suivantes: Il s'installe dans un répertoire système Windows avec le nom KERNEL32.EXE et l'enregistre dans la clé de registre suivante: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce Kernel32 = kernel32.exe Il supprime un talonneur de clavier avec le nom KDLL.DLL. Les informations de journal sont stockées dans le répertoire système Windows avec le nom CP_25389.NLS. |
Lien vers l'original |
|