CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

Email-Worm.Win32.Petik

Classe Email-Worm
Plateforme Win32
Description

Détails techniques

Ceci est un ver Internet qui se propage sous la forme d'un fichier MADCOW.EXE de 8 Ko attaché aux messages électroniques. Pour envoyer des messages infectés, le ver utilise MS Outlook. Le ver est également capable d'envoyer ses copies aux canaux IRC en infectant un client mIRC.

Première exécution

Lorsque le ver est démarré pour la première fois (si un utilisateur clique sur la pièce jointe EXE au message ou accepte un téléchargement IRC), le ver se copie dans deux fichiers:

  • le répertoire système Windows avec le nom Wininet32.exe
  • le répertoire Windows avec le nom MadCow.exe

et enregistre un fichier MadCow.exe dans la section d'exécution automatique:

  • dans le fichier WIN.INI, section [windows], clé "run =" – sous Win9x
  • dans le registre système dans la clé "Run =" – sous WinNT

Le ver crée ensuite un répertoire C: WIN32 et crée deux fichiers ici (fichier batch DOS et programme de script VBS):

ENVOIE.BAT – il engendre juste un fichier ENVOIE.VBS (fichier suivant)
ENVOIE.VBS – ce script propage le ver avec des messages infectés

Lors de la propagation, le script se connecte à MS Outlook et envoie des messages électroniques infectés à toutes les adresses du carnet d'adresses MS Outlook. Les messages contiennent les éléments suivants:

Sujet: Pourquoi les vaches sont-elles folles?
Corps: Voila un rapport expliquant la folie des vaches
Pièce jointe: MadCow.exe

Deuxième course

Au prochain démarrage (redémarrage suivant de Windows), le ver crée sa copie avec le nom MadCow.exe dans le répertoire C: WIN32, puis infecte un client mIRC dans les répertoires suivants:

C: MIRC
C: MIRC32
C: Fichiers de programmeMIRC
C: Program FilesMIRC32

Le client mIRC infecté envoie une copie de ver (fichier MadCow.exe) à tous les utilisateurs qui rejoignent le canal infecté.

Autre

Le ver crée la clé de registre: HKLMSoftware [Atchoum]

S'il n'y a pas de client mIRC trouvé dans le système, le ver crée le fichier MSLS.ICO dans le répertoire système de Windows, y écrit une image de imp (devil) et s'enregistre comme une icône standard pour les fichiers EXE.

Le ver contient également les piqûres de texte suivantes dans son corps:

IWorm.MadCow par PetiK (c) 2000
Je t'aime Maya / Je t'aime


Lien vers l'original