CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

Email-Worm.Win32.Ciosor

Classe Email-Worm
Plateforme Win32
Description

Détails techniques

C'est le virus du ver qui se propage via Internet en étant attaché à des emails infectés. Le ver lui-même est un fichier Windows PE EXE d'environ 107 Ko de longueur, écrit en Visual Basic (VB5).

Le ver s'active à partir d'un courrier électronique infecté uniquement au cas où un utilisateur clique sur un fichier joint. Le ver s'installe ensuite dans le système, exécute la routine d'épandage et la charge utile.

Les messages infectés ont des textes différents et des noms de fichiers joints, ils sont sélectionnés au hasard par le ver tout en se propageant à partir des variantes suivantes:

Les sujets sont:
Cuidado con los virus !!! Tienes un virus !!! Me lo baje de Internet Una co�a de la red

Les corps sont:
% virusname% est "Nimda", "Magistr" ou "Sircam".

Saludos
Me ha llegado el virus% nom de virus%, de tu ordenador, ya es la segunda vez
Pas de vaca que de l'environnement, de Norton Antivirus
TenY dix mas cuidado la pr�xima vez!

Un Saludo
Por Favor, réviser su ordenador, me ha vu le virus% virusname%
Le meilleur de la facilité pour Norton Antivirus

Un Saludo
Hola, perdona, que te moleste, pero moi a enviado un virus, el% virusname%
Le rêve de la vacane de panda, �Ten mas cuidado la pr�xima vez!

Hola
Te envo un fichero que me bajado d'Internet, es un broma. mueve �l
Rat�n por toda la pantalla. Pas de contrôle qu quita ni pulsando + alt + supr,
Jeje, al final hay que reiniciar. <

Les noms de fichiers joints sont:

MueveRaton.exe
AntiMagistr.exe
AntiNimda.exe
AntiSircam.exe

Pour envoyer des messages infectés, le ver analyse les fichiers * .EML, * .NWS et * .DBX, récupère les adresses e-mail des victimes, puis se connecte au serveur SMTP smtp.terra.es, puis envoie les messages infectés.

Installation

Lors de l'installation du ver copie lui-même dans le répertoire système Windows avec le nom REGWIZ.EXE (et remplace le fichier Windows REGWIZ.EXE d'origine), et enregistre ce fichier dans la clé d'exécution automatique du registre système:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun regwiz =% systemdir% regwiz.EXE

Le ver définit également les attributs ReadOnly, Hidden et System pour ce fichier.

Le ver affiche alors un faux message d'erreur:

Win32 v�lida
[ D'ACCORD ]

Charge utile

Le ver ajoute au fichier C: MSDOS.SYS la commande:

BootKeys = 0

L'effet de ceci est l'incapacité de casser ou de suivre le processus de démarrage sous les systèmes Win9x.

Le ver reste ensuite dans la mémoire de Windows en tant qu'application cachée (service système) et exécute la routine de charge utile – le cusror de la souris est déplacé aléatoirement sur l'écran et la souris devient inutilisable.

Le ver exécute également son compteur interne dans la clé de registre:

HKCUSoftwareVB et VBA Program Settingsregwizconfig
ejec =% nombre%

et augmente cette valeur à chaque course. Lorsque ce compteur atteint 75, le ver modifie la clé de registre:

HKCUControl PanelDesktop
ScreenSaveActive = 0

quitte Windows et redémarre la machine.


Lien vers l'original