CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

Email-Worm.Win32.Melare

Classe Email-Worm
Plateforme Win32
Description

Détails techniques

Melare est un virus de ver qui se propage via Internet en tant que pièce jointe d'un e-mail. Le ver lui-même est un fichier Windows PE EXE d'environ 6 Ko de longueur lorsqu'il est compressé par UPX, la taille décompressée est d'environ 15 Ko. Il est écrit en Visual Basic.

Le ver s'active à partir d'un courrier électronique infecté uniquement si un utilisateur clique sur le fichier joint. Notez que le nom de fichier .EXE réel attaché est masqué par un faux nom .JPG. Par conséquent, le fichier .EXE infecté est affiché en tant que fichier image .JPG (image), mais en ouvrant cette pièce jointe, il est exécuté en tant que fichier EXE réel. Lorsqu'ils sont lancés à partir de MS Outlook 97 SP2, ces fichiers joints sont bloqués (dans le mode par défaut).

Le ver s'installe ensuite dans le système, exécute sa routine d'épandage et sa charge utile.

Installation
Lors de l'installation du ver se copie dans le répertoire Windows sous le nom csrss.EXE et enregistre ce fichier dans la clé d'exécution automatique du registre système:

 HKLMSoftwareMicrosoftWindowsCurrentVersionRun
   SystemSARS32 =% WindowsDir% csrss.EXE

Diffusion
Pour envoyer des messages infectés, le ver utilise MS Outlook et envoie des messages à toutes les adresses trouvées dans le carnet d'adresses Outlook.

Les messages infectés ont les attributs suivants:

Le début du texte du corps du message peut être couvert par une icône "JPG attach".

Charge utile
Le 1er, 4, 8, 12, 16, 20, 24 et 28 de chaque mois, le ver supprime tous les fichiers * .DLL, * .NLS, * .OCX dans le répertoire courant (dans la plupart des cas, ce serait le répertoire Windows ).


Lien vers l'original