CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

Email-Worm.Win32.Puron

Classe Email-Worm
Plateforme Win32
Description

Détails techniques

Il s'agit d'un virus qui se propage via des e-mails infectés et qui infecte les fichiers Windows EXE sur les ordinateurs. Les routines du ver ont des bugs, et dans certains cas, arrêtent l'ordinateur et / ou corrompent les fichiers en les infectant.

Le code du ver a les chaînes de texte "copyright":

(c) Vecna
Vecna ​​est un rocker punk maintenant …

Fichier infecté exécuté

Le ver peut entrer dans un ordinateur via des e-mails infectés provenant du réseau local ou de tout autre fichier infecté qui est exécuté.

Lorsque le ver démarre, il extrait d'un fichier infecté son code "principal" (c'est-à-dire le code viral "pur" – fichier Win32 PE EXE de 9,5 Ko), l'enregistre dans le répertoire TEMP de Windows avec un nom aléatoire (par exemple , LNBAMKON.EXE, MMCAAHAN.EXE) et exécute ce fichier.

Lorsque le code "principal" du virus prend le contrôle, il déplace son fichier dans le répertoire Windows référencé dans la clé de Registre:

HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShell Folders
Démarrage commun =% démarrage%

Le nom du répertoire% startup% dépend de la version de Windows, par exemple:

Documents et paramètresTous les utilisateursDémarrer le menuProgrammesStartup
% WindowsDir% Tous les utilisateursStart MenuProgramsStartup

Le ver se déplace dans ce répertoire% startup% avec un nom aléatoire qui a huit chiffres sélectionnés au hasard et une extension .EXE, par exemple:

00544102.EXE
17060133.EXE
37154273.EXE

Le ver exécute ensuite cette copie dans le répertoire "Démarrage" et supprime la première copie dans le répertoire TEMP de Windows, par exemple:

C: VIRUS.EXE – fichier infecté est exécuté
C: WINDOWSTEMPMMCAAHAN.EXE – 1ère copie est créée et exécutée
C: WINDOWSAll UsersStart MenuProgramsStartup 0544102.EXE – ceci est la 2ème copie, il est créé ici et exécuté. La 1ère copie est supprimée ensuite.

En raison d'un bug, dans certains cas, le ver se bloque au milieu de ce processus, et la première copie est laissée dans le répertoire TEMP.

Lorsque ce processus de «déplacement de fichier» est terminé, le ver installe un hook «furtif» et exécute les routines de propagation d'infection et de courrier électronique.

Infection

La routine d'infection lors du contrôle des gains, recherche un fichier exécutable .EXE et .SCR Windows sur tous les lecteurs locaux et réseau, et les infecte. Lors de l'infection, il obtient un bloc à partir du centre du fichier, le compresse et stocke les données compressées et le code du ver dans le fichier afin que la longueur du fichier n'augmente pas.

Le ver utilise également un moteur de mutation polymorphe pour rendre le processus de détection et de désinfection plus complexe.

Envoi d'e-mails

Pour se propager, le ver se connecte à un serveur de messagerie SMTP et envoie des messages infectés à des adresses de messagerie. À la fois le nom du serveur SMTP et les adresses de messagerie, le ver est obtenu à partir des fichiers de données WAB (Carnet d'adresses Windows).

Les messages infectés sont au format HTML et ont des champs:

De: "Mondo bizarro" [mourning@obituary.org]
Sujet: Joey est mort, mec … 🙁
Texte: Un hommage à Joey Ramone (1951-2001)
Joindre: ramones.mp3.exe

Le ver utilise l'une des failles de sécurité (Identifiant de vulnérabilité: CAN-2001-0154) trouvées dans MS Windows en 2001. Le résultat de cette violation est la possibilité de générer un fichier EXE attaché sans action de l'utilisateur. Lorsqu'un fichier électronique infecté est ouvert en lecture ou en aperçu, le fichier EXE du ver est automatiquement exécuté.

Microsoft a déjà publié un correctif qui élimine cette vulnérabilité. Des informations supplémentaires peuvent être trouvées ici: http://www.microsoft.com/technet/security/bulletin/MS01-020.asp

Furtif

Le ver connecte les appels système FindFile et FindProcess Windows (FindFirstFileA, FindNextFileA, Process32First, Process32Next). Le ver traite ces appels de sorte que sa copie dans le répertoire "startup" (voir ci-dessus) n'est pas signalée. Par conséquent, le fichier ver n'est pas visible dans les fichiers et les listes de processus.


Lien vers l'original