Kaspersky Threats

Classe

Plateforme

Description

Détails techniques

C'est le virus du ver qui se propage via Internet en étant attaché à des emails infectés. Le ver lui-même est un fichier Windows PE EXE d'environ 107 Ko de longueur, écrit en Visual Basic (VB5).

Le ver s'active à partir d'un courrier électronique infecté uniquement au cas où un utilisateur clique sur un fichier joint. Le ver s'installe ensuite dans le système, exécute la routine d'épandage et la charge utile.

Les messages infectés ont des textes différents et des noms de fichiers joints, ils sont sélectionnés au hasard par le ver tout en se propageant à partir des variantes suivantes:

Les sujets sont:
Cuidado con los virus !!! Tienes un virus !!! Me lo baje de Internet Una co�a de la red

Les corps sont:
% virusname% est "Nimda", "Magistr" ou "Sircam".

Saludos
Me ha llegado el virus% nom de virus%, de tu ordenador, ya es la segunda vez
Pas de vaca que de l'environnement, de Norton Antivirus
TenY dix mas cuidado la pr�xima vez!

Un Saludo
Por Favor, réviser su ordenador, me ha vu le virus% virusname%
Le meilleur de la facilité pour Norton Antivirus

Un Saludo
Hola, perdona, que te moleste, pero moi a enviado un virus, el% virusname%
Le rêve de la vacane de panda, �Ten mas cuidado la pr�xima vez!

Hola
Te envo un fichero que me bajado d'Internet, es un broma. mueve �l
Rat�n por toda la pantalla. Pas de contrôle qu quita ni pulsando + alt + supr,
Jeje, al final hay que reiniciar. <

Les noms de fichiers joints sont:

MueveRaton.exe
AntiMagistr.exe
AntiNimda.exe
AntiSircam.exe

Pour envoyer des messages infectés, le ver analyse les fichiers * .EML, * .NWS et * .DBX, récupère les adresses e-mail des victimes, puis se connecte au serveur SMTP smtp.terra.es, puis envoie les messages infectés.

Installation

Lors de l'installation du ver copie lui-même dans le répertoire système Windows avec le nom REGWIZ.EXE (et remplace le fichier Windows REGWIZ.EXE d'origine), et enregistre ce fichier dans la clé d'exécution automatique du registre système:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun regwiz =% systemdir% regwiz.EXE

Le ver définit également les attributs ReadOnly, Hidden et System pour ce fichier.

Le ver affiche alors un faux message d'erreur:

Win32 v�lida
[ D'ACCORD ]

Charge utile

Le ver ajoute au fichier C: MSDOS.SYS la commande:

BootKeys = 0

L'effet de ceci est l'incapacité de casser ou de suivre le processus de démarrage sous les systèmes Win9x.

Le ver reste ensuite dans la mémoire de Windows en tant qu'application cachée (service système) et exécute la routine de charge utile – le cusror de la souris est déplacé aléatoirement sur l'écran et la souris devient inutilisable.

Le ver exécute également son compteur interne dans la clé de registre:

HKCUSoftwareVB et VBA Program Settingsregwizconfig
ejec =% nombre%

et augmente cette valeur à chaque course. Lorsque ce compteur atteint 75, le ver modifie la clé de registre:

HKCUControl PanelDesktop
ScreenSaveActive = 0

quitte Windows et redémarre la machine.

Lien vers l'original

Découvrez les statistiques de la propagation des menaces dans votre région

Classe	Email-Worm
Plateforme	Win32
Description	Détails techniques C'est le virus du ver qui se propage via Internet en étant attaché à des emails infectés. Le ver lui-même est un fichier Windows PE EXE d'environ 107 Ko de longueur, écrit en Visual Basic (VB5). Le ver s'active à partir d'un courrier électronique infecté uniquement au cas où un utilisateur clique sur un fichier joint. Le ver s'installe ensuite dans le système, exécute la routine d'épandage et la charge utile. Les messages infectés ont des textes différents et des noms de fichiers joints, ils sont sélectionnés au hasard par le ver tout en se propageant à partir des variantes suivantes: Les sujets sont: Cuidado con los virus !!! Tienes un virus !!! Me lo baje de Internet Una co�a de la red Les corps sont: % virusname% est "Nimda", "Magistr" ou "Sircam". Saludos Me ha llegado el virus% nom de virus%, de tu ordenador, ya es la segunda vez Pas de vaca que de l'environnement, de Norton Antivirus TenY dix mas cuidado la pr�xima vez! Un Saludo Por Favor, réviser su ordenador, me ha vu le virus% virusname% Le meilleur de la facilité pour Norton Antivirus Un Saludo Hola, perdona, que te moleste, pero moi a enviado un virus, el% virusname% Le rêve de la vacane de panda, �Ten mas cuidado la pr�xima vez! Hola Te envo un fichero que me bajado d'Internet, es un broma. mueve �l Rat�n por toda la pantalla. Pas de contrôle qu quita ni pulsando + alt + supr, Jeje, al final hay que reiniciar. < Les noms de fichiers joints sont: MueveRaton.exe AntiMagistr.exe AntiNimda.exe AntiSircam.exe Pour envoyer des messages infectés, le ver analyse les fichiers * .EML, * .NWS et * .DBX, récupère les adresses e-mail des victimes, puis se connecte au serveur SMTP smtp.terra.es, puis envoie les messages infectés. Installation Lors de l'installation du ver copie lui-même dans le répertoire système Windows avec le nom REGWIZ.EXE (et remplace le fichier Windows REGWIZ.EXE d'origine), et enregistre ce fichier dans la clé d'exécution automatique du registre système: HKLMSoftwareMicrosoftWindowsCurrentVersionRun regwiz =% systemdir% regwiz.EXE Le ver définit également les attributs ReadOnly, Hidden et System pour ce fichier. Le ver affiche alors un faux message d'erreur: Win32 v�lida [ D'ACCORD ] Charge utile Le ver ajoute au fichier C: MSDOS.SYS la commande: BootKeys = 0 L'effet de ceci est l'incapacité de casser ou de suivre le processus de démarrage sous les systèmes Win9x. Le ver reste ensuite dans la mémoire de Windows en tant qu'application cachée (service système) et exécute la routine de charge utile – le cusror de la souris est déplacé aléatoirement sur l'écran et la souris devient inutilisable. Le ver exécute également son compteur interne dans la clé de registre: HKCUSoftwareVB et VBA Program Settingsregwizconfig ejec =% nombre% et augmente cette valeur à chaque course. Lorsque ce compteur atteint 75, le ver modifie la clé de registre: HKCUControl PanelDesktop ScreenSaveActive = 0 quitte Windows et redémarre la machine.
	Lien vers l'original
	Découvrez les statistiques de la propagation des menaces dans votre région

Email-Worm.Win32.Ciosor

Détails techniques