CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.
Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.
Classe | Email-Worm |
Plateforme | Win32 |
Description |
Détails techniquesC'est un virus-propagation qui se propage sous les systèmes Win32. Le virus infecte les fichiers exécutables Win32, tente d'envoyer des messages électroniques avec des fichiers joints infectés, et installe un composant de porte dérobée pour télécharger et générer des "plugins" sur un système affecté. Le ver a provoqué une épidémie mondiale de septembre à octobre 2000. Le virus a une structure inhabituelle. Il se compose de trois composants différents qui s'exécutent en tant que programmes autonomes (Virus, Courrier électronique Worm et Backdoor). Le virus est le composant principal, et il maintient les programmes de ver et de porte dérobée dans son code sous forme compressée. En infectant le système, le virus les extrait et les engendre: Structure du virus� =============== - � Le virus � -> installe Worm et Backdoor sur le système, � installation � puis trouve et infecte les fichiers exécutables Win32 � et l'infection � � routines � � --------------- � � Le code de ver � -> est extrait dans un fichier et exécuté en tant que programme autonome � (compressé) � � --------------- � � Backdoor code � -> est extrait dans un fichier et exécuté en tant que programme autonome � (compresse) � L =============== - Fichier EXE infecté� =============== - � Code de fichier � � et données � � � � =============== � � Code de virus: � � --------------- � �� Installation�� �� et infection�� � + ------------- + � �� Ver �� � + ------------- + � �� Backdoor �� ----L -------------- � L =============== - Le code du ver ne contient pas toutes les routines nécessaires pour infecter le système, étant envoyé en pièce jointe dans un message électronique infecté (voir ci-dessous). Le ver a besoin de "l'aide" du composant viral, et est envoyé comme infecté par le virus (le fichier ver est infecté par le virus en tant que fichier ordinaire puis envoyé). La raison d'une telle méthode n'est pas claire, mais probablement les composants ont été écrits par des personnes différentes. Le composant Virus contient les chaînes de texte:
Le composant de ver contient les chaînes de texte:
La porte dérobée contient le texte:
Le composant de virusLe virus utilise la technologie "Entry Point Obscuring" lors de l'infection d'un fichier. Cela signifie que le virus n'affecte pas le fichier à son code d'entrée, mais place une instruction "Jump Virus" quelque part au milieu de la section de code de fichier pour rendre les procédures de détection et de désinfection plus complexes. Par conséquent, le virus est activé uniquement dans le cas où la branche d'un programme affecté correspondant reçoit le contrôle. Le virus est également crypté, donc tout d'abord, il se décrypte lui-même lorsque son code prend le contrôle. Le virus recherche ensuite les fonctions de l'API Win32 nécessaires en analysant le noyau Win32. Pour ce faire, le virus essaie les adresses Win9x, WinNT et Win2000. Le virus recherche ensuite les programmes anti-virus actifs dans le système et les quitte au cas où l'un d'eux serait détecté. La liste des programmes antivirus auxquels le virus porte attention est la suivante:
Ensuite, le virus installe ses composants sur le système. Ils sont décompressés installés dans le répertoire Windows puis générés. Trois fichiers sont créés et ils ont un ensemble d'attributs cachés et les noms suivants:
Le virus infecte alors les fichiers exécutables PE EXE Win32 dans les répertoires courant, temporaire et Windows, puis quitte. VerPour envoyer des messages infectés, le ver utilise une technologie qui, pour la première fois, a été trouvée dans le ver Internet "Happy" (alias Happy99, alias SKA). Le ver affecte le fichier WSOCK32.DLL dans le répertoire système Windows en ajoutant un composant de son code à la fin du fichier et en accrochant la routine "send" WSOCK32.DLL. Par conséquent, le ver surveille toutes les données envoyées d'un ordinateur affecté à Internet. Généralement, le fichier WSOCK32.DLL est utilisé au démarrage du ver et il est verrouillé pour l'écriture. Pour éviter cela, le ver utilise une méthode standard: il crée une copie de l'original WSOCK32.DLL avec un nom WSOCK32.MTX, affecte cette copie et écrit ensuite "remplacer le fichier original par infecté" dans le fichier WININIT.INI:
où "C: WINDOWSSYSTEM" est le nom du répertoire système de Windows et peut différer selon le nom du répertoire Windows installé. Au prochain redémarrage, le WSOCK32 infecté remplace le fichier d'origine et le ver accède aux données envoyées par la machine infectée. Le ver fait attention aux sites Internet (Web, ftp) qui sont visités ainsi qu'aux courriels envoyés depuis un ordinateur. Le comportement très visible du virus est dû au fait qu'il empêche la possibilité de visiter plusieurs sites Internet, ainsi que de désactiver l'envoi de messages aux mêmes domaines (ce sont des noms de domaine antivirus). Le virus les détecte par des combinaisons de quatre lettres qui apparaissent comme suit:
Le ver ne permet pas non plus d'envoyer des messages électroniques à ces domaines:
Le ver intercepte également les messages électroniques qui sont envoyés et tente d'envoyer un message en double avec une pièce jointe infectée à la même adresse (le même que le ver "Happy"). En conséquence, une adresse de victime devrait recevoir deux messages: d'abord, le message original, écrit par un expéditeur; ensuite, un message avec un sujet et un texte vides et un fichier joint qui a un des noms sélectionnés par le ver en fonction de la date actuelle:
En tant que fichier joint, le ver utilise le fichier WIN32.DLL qui a été supprimé par le composant viral. Remarque: le ver ne supprime pas le fichier WIN32.DLL, mais utilise ce fichier pour le joindre aux messages envoyés. Ainsi, le "ver pur" n'est pas capable de se propager plus d'une fois: en cours d'exécution sur une machine victime, le ver infectera WSOCK32.DLL, mais ne pourra pas envoyer ses copies plus loin. Pour "résoudre ce problème", le ver envoie sa copie infectée (WIN32.DLL est un composant de ver infecté par un composant viral, voir ci-dessus). La modification de ver connue a un bug dans sa routine d'étalement et dans de nombreux cas, le serveur de messagerie ne parvient pas à recevoir les messages affectés de la machine infectée. Malgré cela si le système dispose d'une connexion d'accès à distance, ou si le serveur de messagerie est assez rapide, le ver envoie ses copies sans problème. Porte de derrièreEn cours d'exécution, un composant Backdoor crée une nouvelle clé dans le registre système indiquant que la machine est déjà infectée:
Dans le cas où cette clé existe, la porte dérobée ignore la procédure d'installation. Sinon, il s'enregistre dans la section d'exécution automatique:
où% WinDir% est le répertoire Windows. La porte dérobée reste ensuite active dans Windows en tant qu'application cachée (service) et exécute une routine qui se connecte à un serveur Internet, obtient des fichiers à partir de là et les génère dans le système. Ainsi, la porte dérobée peut infecter le système avec d'autres virus ou installer des programmes de Troie ou des backdoors plus fonctionnels. Ce composant dans la version du virus connu a également un bogue qui provoque un message Windows standard sur une erreur dans l'application lorsqu'une porte dérobée tente d'accéder à un site Internet. |
Lien vers l'original |
|
Découvrez les statistiques de la propagation des menaces dans votre région |