Kaspersky Threats

Classe

Plateforme

Description

Détails techniques

Melare est un virus de ver qui se propage via Internet en tant que pièce jointe d'un e-mail. Le ver lui-même est un fichier Windows PE EXE d'environ 6 Ko de longueur lorsqu'il est compressé par UPX, la taille décompressée est d'environ 15 Ko. Il est écrit en Visual Basic.

Le ver s'active à partir d'un courrier électronique infecté uniquement si un utilisateur clique sur le fichier joint. Notez que le nom de fichier .EXE réel attaché est masqué par un faux nom .JPG. Par conséquent, le fichier .EXE infecté est affiché en tant que fichier image .JPG (image), mais en ouvrant cette pièce jointe, il est exécuté en tant que fichier EXE réel. Lorsqu'ils sont lancés à partir de MS Outlook 97 SP2, ces fichiers joints sont bloqués (dans le mode par défaut).

Le ver s'installe ensuite dans le système, exécute sa routine d'épandage et sa charge utile.

Installation
Lors de l'installation du ver se copie dans le répertoire Windows sous le nom csrss.EXE et enregistre ce fichier dans la clé d'exécution automatique du registre système:

 HKLMSoftwareMicrosoftWindowsCurrentVersionRun   SystemSARS32 =% WindowsDir% csrss.EXE

Diffusion
Pour envoyer des messages infectés, le ver utilise MS Outlook et envoie des messages à toutes les adresses trouvées dans le carnet d'adresses Outlook.

Les messages infectés ont les attributs suivants:

Le début du texte du corps du message peut être couvert par une icône "JPG attach".

Charge utile
Le 1er, 4, 8, 12, 16, 20, 24 et 28 de chaque mois, le ver supprime tous les fichiers * .DLL, * .NLS, * .OCX dans le répertoire courant (dans la plupart des cas, ce serait le répertoire Windows ).

Lien vers l'original

Découvrez les statistiques de la propagation des menaces dans votre région

Classe	Email-Worm
Plateforme	Win32
Description	Détails techniques Melare est un virus de ver qui se propage via Internet en tant que pièce jointe d'un e-mail. Le ver lui-même est un fichier Windows PE EXE d'environ 6 Ko de longueur lorsqu'il est compressé par UPX, la taille décompressée est d'environ 15 Ko. Il est écrit en Visual Basic. Le ver s'active à partir d'un courrier électronique infecté uniquement si un utilisateur clique sur le fichier joint. Notez que le nom de fichier .EXE réel attaché est masqué par un faux nom .JPG. Par conséquent, le fichier .EXE infecté est affiché en tant que fichier image .JPG (image), mais en ouvrant cette pièce jointe, il est exécuté en tant que fichier EXE réel. Lorsqu'ils sont lancés à partir de MS Outlook 97 SP2, ces fichiers joints sont bloqués (dans le mode par défaut). Le ver s'installe ensuite dans le système, exécute sa routine d'épandage et sa charge utile. Installation Lors de l'installation du ver se copie dans le répertoire Windows sous le nom csrss.EXE et enregistre ce fichier dans la clé d'exécution automatique du registre système: HKLMSoftwareMicrosoftWindowsCurrentVersionRun SystemSARS32 =% WindowsDir% csrss.EXE Diffusion Pour envoyer des messages infectés, le ver utilise MS Outlook et envoie des messages à toutes les adresses trouvées dans le carnet d'adresses Outlook. Les messages infectés ont les attributs suivants: Le début du texte du corps du message peut être couvert par une icône "JPG attach". Charge utile Le 1er, 4, 8, 12, 16, 20, 24 et 28 de chaque mois, le ver supprime tous les fichiers * .DLL, * .NLS, * .OCX dans le répertoire courant (dans la plupart des cas, ce serait le répertoire Windows ).
	Lien vers l'original
	Découvrez les statistiques de la propagation des menaces dans votre région

Email-Worm.Win32.Melare

Détails techniques