CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

Email-Worm.Win32.Calposa

Classe Email-Worm
Plateforme Win32
Description

Détails techniques

Calposa est un virus qui se propage via Internet en tant que pièce jointe à des emails infectés, ainsi que via le réseau de partage de fichiers Kazaa. Le ver lui-même est un fichier Windows PE EXE d'environ 57 Ko et est écrit en Visual Basic.

Les messages électroniques infectés ont les attributs suivants:

Objet: Les programmes anti-virus corrompent votre logiciel!

Corps:

Voulez-vous savoir pourquoi vous recevez du courrier indésirable? Eh bien Voici la preuve que les AV corrompent vos programmes et vendent vos informations privées à la société Web! Pourquoi pensez-vous qu'il y a tellement de virus là-bas? Eh bien c'est leur société qui les répand et ensuite vous vendre des produits pour les supprimer! vérifier maintenant … (ps son attatched)

Joindre: ActiveX.exe ou Telnet.exe ou MSWord.exe

Le ver s'active à partir d'un courrier électronique infecté uniquement lorsqu'un utilisateur clique sur le fichier joint. Le ver s'installe ensuite dans le système et exécute sa routine d'épandage et sa charge utile.

Installation
Lors de l'installation du ver se copie dans le système sous les noms suivants:

C: WindowsActiveX.exe
C: WindowsSCR.exe
C: WindowsExplorer.exe
C: WindowsTelnet.exe
C: WindowsMSWord.exe
C: WindowsFUCK_AVs.exe
C: Windowsregedit.exe
C: WindowsMixer.exe
C: WINDOWSSystemExplorer.exe

Le ver n'enregistre aucun de ces fichiers ni dans la clé d'exécution automatique du registre système, ni dans aucune autre clé ou commande "auto-run".

Diffusion: Email
Pour envoyer des messages infectés, le ver utilise MS Outlook et envoie des messages à toutes les adresses trouvées dans le carnet d'adresses Outlook.

Épandage: Kazaa
Le ver se copie dans le répertoire "C: Program FilesKaZaaMy Shared Folder" avec les noms suivants:

norton_crack.exe
UT3_full_crack.exe
Windows_Hack.exe
Sims_Patch.exe

Si ce répertoire est un répertoire de partage de fichiers Kazaa, le ver se répandra sur le réseau Kazaa.

Charge utile
Le ver affiche le message:

UH OH VERM!
… Calposa par Industry @ ANVXgroup …

Le ver écrit dans le fichier "c: WindowsSystem.ini" les données suivantes:

[Sur]
Author = Industrie
VXgroup = ANVXgroup (Auxnet)
Virus = ANVX (WIN32.calposa@mm)
Crie vers = Indovirus, mANiAC89, Retro, Iwing et tous les autres.
Fuck = Fuck tous les AV, nous vous gardons dans un travail alors donnez-nous un peu de mou!
Pour le reste = ANVX le seul et unique!

Le 1er avril, le ver supprime tous les fichiers des répertoires suivants:

 C: Windows C: WindowsSystem32 C: WindowsSystem C: Windowsinf C: Program FilesKazaa 

puis il supprime le fichier:

 C: AutoExec.bat

et affiche le message:

Industrie … ping? pong! …

Le 16 février, le ver affiche une image de couleur rouge avec un texte "ANVX by industry" .

Le 2 avril, le ver affiche le message:

UH OH VERM! … Deuxième sortie de l'industrie …


Lien vers l'original