CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

Email-Worm.Win32.Galil

Classe Email-Worm
Plateforme Win32
Description

Détails techniques

C'est un virus qui se propage via Internet en étant attaché à des emails infectés. Le ver se compose de plusieurs composants. Tous sont des fichiers EXE Windows PE, écrits en Visual Basic.

 Fichier principal: "iLLeGaL.exe", environ 81K de taille
 Composant d'épandage: "Mplayer.exe", environ 14K (compressé par UPX, décompressé - 37K)
 Contrôle SMTP: "SMTP.ocx", environ 26K (compressé par UPX, décompressé - 90K)

Installation

Lorsque le fichier de ver principal est exécuté, il s'installe lui-même et ses composants dans le système. Pendant l'installation du ver copie son fichier principal dans le répertoire système Windows avec le nom "iLLegGaL.exe". D'autres composants de ver sont installés dans le même répertoire. Le composant "Mplayer.exe" est ensuite enregistré dans la clé d'exécution automatique du registre système:

 HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices
  iLLeGaL =% SystemDir% Mplayer.exe

Le ver affiche alors une fausse animation Flash et le message:

 Pardon !
  Looooooooool, merci pour le temps que tu as passé à penser à moi

Diffusion

Le ver lit les e-mails des victimes à partir du carnet d'adresses MS Outlook et recherche les adresses e-mail dans les fichiers .HTM et .HTML. Pour envoyer des messages infectés, le ver utilise une connexion directe au serveur SMTP.

Les messages infectés ont:

 Sujet: Fwd: Crazy sexe illégal!
 Body: est sélectionné aléatoirement à partir d'un fichier sur C: drive
 Joindre: "iLLeGal.exe" ou "illegalSex.zip"

Le ver s'active à partir d'un courrier électronique infecté uniquement si un utilisateur clique sur le fichier joint. Le ver s'installe ensuite dans le système, exécute sa routine d'épandage et sa charge utile.

Charge utile

Le ver crée une nouvelle clé (compteur) dans le registre système:

  HKLMiLLeGal

Ce compteur est augmenté à chaque démarrage de ver. Lorsque le compteur atteint '5', le ver supprime tous les fichiers des lecteurs D: E: F: G: et affiche le message suivant:

  ZaCker
   Pas de paix sans guerre, je déteste la guerre mais je suis forcé de l'aimer, le pouvoir caché va b là où

Lien vers l'original