Kaspersky Threats

Classe

Plateforme

Description

Détails techniques

Calposa est un virus qui se propage via Internet en tant que pièce jointe à des emails infectés, ainsi que via le réseau de partage de fichiers Kazaa. Le ver lui-même est un fichier Windows PE EXE d'environ 57 Ko et est écrit en Visual Basic.

Les messages électroniques infectés ont les attributs suivants:

Objet: Les programmes anti-virus corrompent votre logiciel!

Corps:

Voulez-vous savoir pourquoi vous recevez du courrier indésirable? Eh bien Voici la preuve que les AV corrompent vos programmes et vendent vos informations privées à la société Web! Pourquoi pensez-vous qu'il y a tellement de virus là-bas? Eh bien c'est leur société qui les répand et ensuite vous vendre des produits pour les supprimer! vérifier maintenant … (ps son attatched)

Joindre: ActiveX.exe ou Telnet.exe ou MSWord.exe

Le ver s'active à partir d'un courrier électronique infecté uniquement lorsqu'un utilisateur clique sur le fichier joint. Le ver s'installe ensuite dans le système et exécute sa routine d'épandage et sa charge utile.

Installation
Lors de l'installation du ver se copie dans le système sous les noms suivants:

C: WindowsActiveX.exe
C: WindowsSCR.exe
C: WindowsExplorer.exe
C: WindowsTelnet.exe
C: WindowsMSWord.exe
C: WindowsFUCK_AVs.exe
C: Windowsregedit.exe
C: WindowsMixer.exe
C: WINDOWSSystemExplorer.exe

Le ver n'enregistre aucun de ces fichiers ni dans la clé d'exécution automatique du registre système, ni dans aucune autre clé ou commande "auto-run".

Diffusion: Email
Pour envoyer des messages infectés, le ver utilise MS Outlook et envoie des messages à toutes les adresses trouvées dans le carnet d'adresses Outlook.

Épandage: Kazaa
Le ver se copie dans le répertoire "C: Program FilesKaZaaMy Shared Folder" avec les noms suivants:

norton_crack.exe
UT3_full_crack.exe
Windows_Hack.exe
Sims_Patch.exe

Si ce répertoire est un répertoire de partage de fichiers Kazaa, le ver se répandra sur le réseau Kazaa.

Charge utile
Le ver affiche le message:

UH OH VERM!
… Calposa par Industry @ ANVXgroup …

Le ver écrit dans le fichier "c: WindowsSystem.ini" les données suivantes:

[Sur]
Author = Industrie
VXgroup = ANVXgroup (Auxnet)
Virus = ANVX (WIN32.calposa@mm)
Crie vers = Indovirus, mANiAC89, Retro, Iwing et tous les autres.
Fuck = Fuck tous les AV, nous vous gardons dans un travail alors donnez-nous un peu de mou!
Pour le reste = ANVX le seul et unique!

Le 1er avril, le ver supprime tous les fichiers des répertoires suivants:

 C: Windows C: WindowsSystem32 C: WindowsSystem C: Windowsinf C: Program FilesKazaa

puis il supprime le fichier:

 C: AutoExec.bat

et affiche le message:

Industrie … ping? pong! …

Le 16 février, le ver affiche une image de couleur rouge avec un texte "ANVX by industry" .

Le 2 avril, le ver affiche le message:

UH OH VERM! … Deuxième sortie de l'industrie …

Lien vers l'original

Classe	Email-Worm
Plateforme	Win32
Description	Détails techniques Calposa est un virus qui se propage via Internet en tant que pièce jointe à des emails infectés, ainsi que via le réseau de partage de fichiers Kazaa. Le ver lui-même est un fichier Windows PE EXE d'environ 57 Ko et est écrit en Visual Basic. Les messages électroniques infectés ont les attributs suivants: Objet: Les programmes anti-virus corrompent votre logiciel! Corps: Voulez-vous savoir pourquoi vous recevez du courrier indésirable? Eh bien Voici la preuve que les AV corrompent vos programmes et vendent vos informations privées à la société Web! Pourquoi pensez-vous qu'il y a tellement de virus là-bas? Eh bien c'est leur société qui les répand et ensuite vous vendre des produits pour les supprimer! vérifier maintenant … (ps son attatched) Joindre: ActiveX.exe ou Telnet.exe ou MSWord.exe Le ver s'active à partir d'un courrier électronique infecté uniquement lorsqu'un utilisateur clique sur le fichier joint. Le ver s'installe ensuite dans le système et exécute sa routine d'épandage et sa charge utile. Installation Lors de l'installation du ver se copie dans le système sous les noms suivants: C: WindowsActiveX.exe C: WindowsSCR.exe C: WindowsExplorer.exe C: WindowsTelnet.exe C: WindowsMSWord.exe C: WindowsFUCK_AVs.exe C: Windowsregedit.exe C: WindowsMixer.exe C: WINDOWSSystemExplorer.exe Le ver n'enregistre aucun de ces fichiers ni dans la clé d'exécution automatique du registre système, ni dans aucune autre clé ou commande "auto-run". Diffusion: Email Pour envoyer des messages infectés, le ver utilise MS Outlook et envoie des messages à toutes les adresses trouvées dans le carnet d'adresses Outlook. Épandage: Kazaa Le ver se copie dans le répertoire "C: Program FilesKaZaaMy Shared Folder" avec les noms suivants: norton_crack.exe UT3_full_crack.exe Windows_Hack.exe Sims_Patch.exe Si ce répertoire est un répertoire de partage de fichiers Kazaa, le ver se répandra sur le réseau Kazaa. Charge utile Le ver affiche le message: UH OH VERM! … Calposa par Industry @ ANVXgroup … Le ver écrit dans le fichier "c: WindowsSystem.ini" les données suivantes: [Sur] Author = Industrie VXgroup = ANVXgroup (Auxnet) Virus = ANVX (WIN32.calposa@mm) Crie vers = Indovirus, mANiAC89, Retro, Iwing et tous les autres. Fuck = Fuck tous les AV, nous vous gardons dans un travail alors donnez-nous un peu de mou! Pour le reste = ANVX le seul et unique! Le 1er avril, le ver supprime tous les fichiers des répertoires suivants: C: Windows C: WindowsSystem32 C: WindowsSystem C: Windowsinf C: Program FilesKazaa puis il supprime le fichier: C: AutoExec.bat et affiche le message: Industrie … ping? pong! … Le 16 février, le ver affiche une image de couleur rouge avec un texte *"ANVX by industry"* . Le 2 avril, le ver affiche le message: UH OH VERM! … Deuxième sortie de l'industrie …
	Lien vers l'original

Email-Worm.Win32.Calposa

Détails techniques