CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

Email-Worm.Win32.Cholera

Classe Email-Worm
Plateforme Win32
Description

Détails techniques

C'est un virus-virus qui se propage via Internet et le réseau local. Il apparaît sous la forme d'un fichier "SETUP.EXE" attaché à un message électronique qui a le sujet "Ok …" et le corps du message contient juste un "sourire":


🙂

Ce fichier joint lui-même est un fichier exécutable Microsoft C ++ d'environ 40 Ko. La majorité du code du fichier est occupé par des bibliothèques et des données d'exécution C ++, et environ 7 Ko de son code est un code de ver «pur».

Le ver a reçu son nom à cause de la chaîne de texte dans son code:


CH0LERA – Bactérie BioCodée par GriYo / 29A

Cette chaîne, ainsi que d'autres données du ver, sont cryptées dans le corps du ver.

Installation dans le système

Lorsque le ver est exécuté pour la première fois (à partir d'une pièce jointe infectée), il obtient son nom de module et s'installe dans le répertoire Windows avec le nom RPCSRV.EXE. Pour forcer Windows à exécuter ce fichier lors du prochain redémarrage, le ver écrit une instruction "Run =" supplémentaire dans le fichier WIN.INI dans le répertoire Windows (sous Win9x), ou modifie une clé correspondante dans le registre système (sous WinNT) .

Pour localiser le répertoire Windows, le ver n'appelle pas les fonctions Windows correspondantes, mais analyse tous les lecteurs locaux disponibles, recherche les noms de sous-répertoire: WINDOWS, WIN95, WIN98, WIN, WINNT, puis recherche un fichier WIN.INI dans le répertoire. Si un tel fichier est localisé, le ver s'installe dans le répertoire.

Par conséquent, le ver peut créer plusieurs de ses copies sur le même ordinateur et y infecter toutes les installations Windows. Dans le cas où un chargeur multiboot est installé, et qu'il existe plusieurs versions différentes de Windows, cette astuce permet au virus de s'activer lors du démarrage de la copie de Windows.

Pour cacher son activité, le ver affiche le faux message:

Setup Impossible d'ouvrir le fichier: il ne semble pas être une archive valide. Si vous avez téléchargé ce fichier, essayez de télécharger le fichier à nouveau. [ D'ACCORD ]

Diffusion ultérieure

Lors du démarrage suivant de Windows, la copie du ver est activée par la commande Exécuter dans le fichier WIN.INI. Il prend le contrôle, s'enregistre lui-même dans la mémoire de Windows en tant qu'application cachée (service invisible) qui permet également au ver de rester actif chaque fois qu'un utilisateur se déconnecte. Le ver exécute ensuite deux autres routines en plus de l'installation. La première de ces nouvelles routines propage le ver à travers le réseau local, et la seconde envoie des messages électroniques infectés. La routine d'installation est également active et le ver est capable d'infecter une nouvelle copie de Windows si elle apparaît sur l'ordinateur. Toutes les routines sont exécutées en tant que threads de processus principal, de sorte qu'elles effectuent leur travail en parallèle.

La première des nouvelles routines propage la copie de ver à travers le réseau. Il énumère tous les lecteurs réseau, les analyse pour les répertoires Windows, copie le fichier RPCSRV.EXE du ver vers cet emplacement et l'enregistre dans le fichier WIN.INI dans le même répertoire distant. Par conséquent, au prochain redémarrage, le ver sur un ordinateur distant sera activé et se propagera plus loin.

La deuxième routine envoie des messages infectés aux adresses Internet. Pour envoyer sa copie, le ver utilise le protocole SMTP et s'envoie par connexion directe. Par conséquent, l'étalement du ver ne dépend pas du type d'application de messagerie utilisée dans le système.

Une fois toutes les six secondes, cette routine énumère toutes les fenêtres de programme actives et recherche les applications Internet: Outlook, Cuteftp, Internet Explo, Telnet, Mirc. Si l'une de ces applications est active, cela signifie que l'ordinateur est connecté à Internet (ceci est nécessaire en raison de la connexion SMTP directe utilisée par le ver).

Le ver obtient alors l'adresse du serveur SMTP et les adresses e-mail des utilisateurs à partir des clés du registre système, construit un nouveau message, attache sa copie au nom SETUP.EXE et l'envoie.

Les adresses Internet vers où le ver envoie ses copies sont collectées à partir de fichiers disque dans le répertoire Windows et les sous-répertoires. Le ver scanne tous les fichiers, recherche les fichiers avec les extensions .HTM, .TXT, .EML, .DBX, .MBX, .NCH, .IDX, puis scanne ces fichiers et obtient des chaînes de type adresse de courriel à partir de là. À chaque envoi, le ver ne se transmet pas à plus de dix adresses.


Lien vers l'original