Email-Worm.Win32.Redesi

Détails techniques

Il s'agit d'un ver Internet qui se propage via des messages électroniques à l'aide de Microsoft Outlook.

Lorsqu'il est lancé, le ver se copie aux emplacements suivants:

C: Si.exe
C: ReDe.exe
c: Disk.exe
c: Common.exe
c: UserConf.exe

Ensuite, il s'envoie à tous les destinataires du carnet d'adresses Outlook de la victime.

Si Microsoft Outlook n'est pas présent sur l'ordinateur de la victime, le ver est incapable de se propager.

Le sujet des messages envoyés par le ver est sélectionné de manière aléatoire à partir d'une liste de chaînes prédéfinies.

Le fichier joint est toujours l'un des suivants:

Si.exe
Common.exe
UserConf.exe
ReDe.exe
Disk.exe

Resedi.a

Si le ver a été lancé sur l'ordinateur pour la première fois, il affiche un message:

Titre : Microsoft Windows Update
Message : Votre mise à jour Windows a réussi.

Si la date actuelle est le 11 novembre 2001 et que le format de date courte Windows est soit mm / jj / aa, soit jj / mm / aa, le ver écrit plusieurs commandes à autoexec.bat, donc dans Windows 9x le lecteur C: sera formaté après redémarrer

Le ver écrit la clé de registre suivante pour démarrer automatiquement avec Windows:

HKLMSoftwareMicrosoftWindowsCurrentVersionRunRede

Le ver s'envoie dans les messages électroniques qui ont le contenu suivant:

Le sujet est l'un des suivants:
FW: mise à jour de sécurité Microsoft.
FW: Mise à jour de sécurité par Microsoft.
FW: départements informatiques sur l'état de haute alerte.
FW: Nouvelles importantes de Microsoft.
FW: Arrêtez les virus informatiques terroristes.
FW: Les terroristes libèrent des virus informatiques.
FW: Réponse d'urgence de Microsoft Corp.
FW: Urgence terroriste. Le dernier virus peut effacer le disque en quelques minutes.
FW: Microsoft Update. Candidat final.
FW: Nouveau virus informatique.

Corps du message:

Juste reçu ceci dans mon email
J'ai contacté Microsoft et ils disent que c'est réel!

—– Message original —–
De: Microsoft Support Desk [mailto: support@microsoft.com]
Envoyé: 17 octobre 2001 15:21
Objet: Mise à jour de sécurité

En raison de la récente vague de propagation de virus informatiques Microsoft Corp a publié un correctif de sécurité. Veuillez appliquer le fichier joint à votre ordinateur Windows pour arrêter toute propagation ultérieure ou ces programmes malveillants. Cordialement, Microsoft Support

Le corps du ver contient les chaînes suivantes:

Attention à la triple loi que vous devriez, trois fois mauvaise et trois fois bonne.
Quand le malheur est en vous, portez l'étoile bleue sur votre front.
Tu dois être toujours dans l'amour, de peur que ton amour ne soit faux pour toi.
Ces paroles que le Wiccan Rede accomplit: Vous ne faites de mal à personne, faites ce que vous voudrez.
Rede (c) Si 2001 … heh, je veux aussi mon numéro de téléphone?!?
Malade de tous les gites du 3ème monde qui propagent des vers. Temps pour un peu de trucs gallois 🙂

Resedi.b

Le sujet des messages envoyés par le ver est l'un des suivants:

Kev Donne de super orgasmes à ladeez !! – Kev
l'enfer vient pour vous, vous serez aspiré dans une fosse sans fond !!! – Gaz
Les scientifiques ont trouvé des traces du virus VIH dans le lait de vache … voici la preuve – Will
Yay. J'ai attrapé un poisson – Six
Je ne veux rien écrire mais Si m'intimide. – Jim
Je veux vivre dans une maison en bois – Arwel
Michelle me doit encore �10 … merde! – Si
Pourquoi n'ai-je que des chips au fromage et à l'oignon? Je les déteste !! – Si
Un nouveau type de variante Lager / Weed …… trié!
Mon père ne se soucie pas de mes résultats d'examen – par Michelle

Corps du message : heh. Je te dis que c'est fou! Vous devez vérifier!

Lorsque les messages sont envoyés, le ver affiche le message suivant: