CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

Email-Worm.Win32.Hybris

Classe Email-Worm
Plateforme Win32
Description

Détails techniques

C'est un ver Internet qui se propage aux messages électroniques. Le ver fonctionne uniquement sous les systèmes Win32. Le ver contient des composants (plugins) dans son code qui sont exécutés en fonction des besoins du ver, et ces composants peuvent être mis à jour à partir d'un site Web Internet.

Les principales versions de ver sont cryptées avec une boucle de cryptage semi-polymorphique.

Le ver contient les chaînes de texte:

HYBRIS
(c) Vecna

Les cycles de vers

La principale cible de ver sur un ordinateur est la bibliothèque WSOCK32.DLL. En infectant ce fichier, le ver:

  • écrit lui-même à la fin de la dernière section de fichier
  • crochets "connect", "recv", et "envoyer" des fonctions
  • modifie l'adresse de routine d'entrée DLL (une routine qui est activée lors du chargement d'un fichier DLL) et crypte la routine d'entrée d'origine

Si le ver n'est pas capable d'infecter WSOCK32.DLL (au cas où il est utilisé et est verrouillé pour l'écriture), le virus crée une copie de cette bibliothèque (une copie de WSOCK32.DLL avec un nom aléatoire), l'infecte et écrit un Renommez l'instruction au fichier WININIT.INI. Par conséquent, WSOCK32.DLL sera remplacé par une image infectée lors du prochain démarrage de Windows.

Le ver crée également sa copie avec un nom aléatoire dans le répertoire système Windows et l'enregistre dans la clé de Registre RunOnce:

 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce {Default} =% WinSystem% WormName 

ou

 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce {Par défaut} =% WinSystem% WormName 

où% WinSystem% est le répertoire système de Windows, et "WormName" est un nom aléatoire de huit symboles, par exemple:

CCMBOIFM.EXE
LPHBNGAE.EXE
LFPCMOIF.EXE

Il n'y a qu'une seule raison possible d'enregistrer une copie de ver supplémentaire dans la clé de registre "RunOnce": dans le cas où WSOCK32.DLL n'a pas été infecté lors du premier ver, et sa copie infectée n'a pas été créée pour une raison quelconque la copie terminera la tâche lors du prochain redémarrage de Windows.

WSOCK32.DLL infecté

Le ver intercepte les fonctions Windows qui établissent une connexion réseau, y compris Internet. Le ver intercepte les données qui sont envoyées et reçues, et les analyse pour les adresses e-mail. Lorsqu'une / des adresse (s) est (sont) détectée (s), le ver attend pendant un certain temps et envoie un message infecté à cette / ces adresse (s).

Plugins

La fonctionnalité du ver dépend des plugins qui sont stockés dans un corps de ver crypté avec un algorithme de chiffrement fort de type RSA avec une clé de 128 bits. Il y a jusqu'à 32 plugins qui peuvent être trouvés dans différentes versions de ver. Ces plugins effectuent différentes actions qui peuvent être mises à jour à partir d'une page Web:

http://pleiku.vietmedia.com/bye/

donc la fonctionnalité complète du ver ne dépend que de son hôte capable de mettre à jour les plugins sur une page Web. Les plugins sur une page sont cryptés avec une crypto similaire à RSA.

Le ver met également à jour ses plugins en utilisant le groupe de discussion alt.comp.virus. Le ver, actif sur une machine, se connecte à un serveur de news (en utilisant un des serveurs sélectionnés au hasard – il y a plus de 70 adresses dans la liste), convertit ses plugins en messages de newsgroups et les poste là. Les messages du ver ont un objet de type aléatoire, par exemple:

encr HVGT GTeLKzurGbGvqnuDqbivKfCHWbizyXiPOvKD
encr CMBK bKfOjafCjyfWnqLqzSTWTuDmfefyvurSLeXGHqR
text LNLM LmnajmnKDyfebuLuPaPmzaLyXGXKPSLSXWjKvWnyDWbGH
texte RFRE rebibmTCDOzGbCjSZ

où les quatre premières corvées sont plugin "nom" et après quatre corvées sont une version "plugin" encodée. En plus de l'envoi, le ver lit ces messages depuis alt.comp.virus, obtient le plugin "name" et "version" et les compare avec les plugins actuellement utilisés par le ver. Dans le cas où le groupe de discussion a un message avec une version plus élevée du plugin, le ver l'extrait et remplace celui existant. Le ver utilise donc alt.comp.virus pour mettre à jour ses plugins.

Le ver crée également ces plugins en tant que fichiers disque dans le répertoire système de Windows. Ils ont aussi un nom aléatoire, mais le ver continue à pouvoir y accéder. Les noms peuvent ressembler à ceci:

BIBGAHNH.IBG
DACMAPKO.ACM
GAFIBPFM.AFI
IMALADOL.MAL
MALADOLI.ALA

Il existe plusieurs plugins connus qui:

1. Infecter toutes les archives ZIP et RAR sur tous les lecteurs disponibles de C: à Z :. Lors de l'infection, le ver renomme les fichiers EXE dans l'archive avec une extension .EX $ et ajoute sa copie avec une extension .EXE à l'archive (méthode d'infection associée).

2. Envoyez des messages avec des plugins encodés au groupe neews "alt.comp.virus", et obtenez de nouveaux plugins à partir de là.

3. Répandez le virus sur les machines distantes auxquelles est installé un cheval de Troie de porte dérobée SubSeven. Le plugin détecte de telles machines sur le Net, et en utilisant les commandes SubSeven, télécharge une copie de ver sur la machine et l'engendre là-dedans.

4. Chiffrez les copies de ver avec une boucle de chiffrement polymorphe avant d'envoyer la copie jointe à un courrier électronique.

5. En fonction de la date et de l'heure du système (les 16 et 24 septembre et à 59 minutes de chaque heure à partir de l'année 2001 – dans les plugins connus), l'effet "spirale" est exécuté.

Le plugin crée un nom .EXE aléatoire de 8 octets dans le répertoire système Windows, décompresse le code EXE "effet spirale" et enregistre ce fichier dans le système:

sous Win9x: dans le fichier WIN.INI dans [windows] "run =" ligne sous WinNT: dans le registre système dans "Run =" clé

6. Affecte les fichiers DOS EXE et Windows PE EXE. Le ver les affecte de sorte qu'ils deviennent des compte-gouttes de ver. Quand ils sont lancés, ils déposent le fichier EXE du ver dans le répertoire TEMP et l'exécutent.

Tout en affectant DOS fichier EXE, le plugin ajoute le code du compte-gouttes et le corps de ver à la fin du fichier. Ces fichiers sont désinfectables.

En affectant le fichier EXE de Windows PE, le plugin remplace la section de code de fichier pour obtenir un espace pour le code de ver, et écrit le code du compte de vers à cet espace (si sa taille est suffisante). Le plugin ne touche pas l'en-tête du fichier (y compris l'adresse du point d'entrée) et n'augmente pas la taille du fichier. En outre, il a une routine anti-CRC (chechsum) qui remplit des données spéciales dans le code de plugin de sorte que le CRC de fichier devient le même pour peu d'algorithmes de CRC couramment utilisés. Cela signifie que certains vérificateurs d'intégrité ne détecteront pas les modifications dans les fichiers concernés: la longueur du fichier et le CRC du corps de fichier restent les mêmes que sur un fichier propre.

Lorsque ce fichier EXE PE est exécuté, le code du dropper supprime et active le ver, puis restaure (décompresse) la section de code et renvoie le contrôle au fichier hôte.

7. Sélectionnez aléatoirement un objet, un texte de message et un nom joint lors de l'envoi des copies de ver avec des messages électroniques:

De:

Hahaha [hahaha@sexyfun.net]

Sujets:

Snowhite et les sept nains – L'histoire vraie!

Branca de Neve porn�!

Enanito si, pero con que pedazo!

Les 7 coquir nains

Textes de message:

C'etait un jour avant son huit huitieme anniversaire. Les 7 nains, qui ont aidé à 'blanche neige' toutes ces années après qu'elle soit enfuit de chez sa belle mère, lui a offert une * grosse * surprise. A 5 heures comme toujours, ils sont rentrés du travail. Mais cette fois ils avaient un air coquin …

Aujourd'hui, Snowhite avait 18 ans. Les 7 nains étaient toujours très instruits et polis avec Snowhite. Quand ils sortent travailler à Mornign, ils ont promis une * énorme * surprise. Snowhite était anxieux. Soudain, la porte s'ouvre et les Sept Nains entrent …

Faltaba apenas un dia para suiversario de 18 aTos. Blanca de Nieve fuera siempre muy bien cuidada pour los enanitos. Ellos le prometieron una * grande * sorpresa para su fiesta de compleaTos. Al entardecer, llegaron. Tenian un brillo incomun en los ojos …

Faltava apenas um dia para our aniversario de 18 anos. Branca de Neve estva muito feliz e ansiosa, porque os 7 ans prometam uma * grande * surpresa. Comme cinco horas, os an�ezinhos voltaram do trabalho. Mas algo nao estava bem … Os sete an�ezinhos tinham um estranho brilho no olhar …

Joindre des noms:

enano.exe
enano porno.exe
blanca de nieve.scr
enanito fisgon.exe

sexy virgin.scr
joke.exe
midgets.scr
dwarf4you.exe

blancheneige.exe
sexynain.scr
blanche.scr
nains.exe

branca de neve.scr
atchim.exe
dunga.scr
an�o porn�.scr

Ainsi que (selon la version du plugin):

Le message Sujet est une combinaison aléatoire de:

 Anna + sexe
 Raquel Darian sexy
 Xena chaud
 Xuxa le plus chaud
 Suzete cum
 éjaculation célèbre
 viol célébrité cornée
 cuir ... etc

Joindre le nom:

Anna.exe
Raquel Darian.exe
Xena.exe
Xuxa.exe
Suzete.exe
famous.exe
célébrité rape.exe
leather.exe
sex.exe
sexy.exe
hot.exe
hottest.exe
cum.exe
cumshot.exe
horny.exe
anal.exe
gay.exe
oral.exe
pleasure.exe
asian.exe
lesbians.exe
teens.exe
virgins.exe
boys.exe
girls.exe
SM.exe
sado.exe
cheerleader.exe
orgy.exe
black.exe
blonde.exe
sodomized.exe
hardcore.exe
slut.exe
doggy.exe
suck.exe
messy.exe
kinky.exe
fist-fucking.exe
amateurs.exe

Le nom de fichier joint peut également être un nom .EXE aléatoire huit octets, par exemple:

ADELHHAD.EXE
CFIMMHAG.EXE
DIEOPIDI.EXE
EABLLNEA.EXE
FKPODKFK.EXE
HJEOINHJ.EXE
OGNNFEOG.EXE
PFFCKEPF.EXE

Effet


Lien vers l'original