CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

Email-Worm.Win32.Scooter

Classe Email-Worm
Plateforme Win32
Description

Détails techniques

C'est un ver Internet qui se propage dans les e-mails infectés et envoie ses copies aux canaux IRC. Le ver lui-même est un fichier exécutable Windows d'environ 200 Ko écrit en Microsoft Visual C ++. Il a été découvert à l'état sauvage en septembre 2000 sous forme compressée d'environ 170K de long (compressé par l'utilitaire PECompact).

Le ver est lié au ver Internet "Scrambler" .

Lorsqu'un fichier infecté est exécuté, le ver crée sa copie dans le répertoire système de Windows. Ce fichier a un nom aléatoire de 5 lettres, par exemple: BJEFG.EXE, FBHGE.EXE. Ce fichier sera utilisé plus tard pour envoyer des copies de vers sur les canaux Internet et IRC.

Pour se propager aux canaux IRC, le ver infecte le client mIRC en créant (en écrasant) un fichier SCRIPT.INI dans les répertoires mIRC standard sur tous les lecteurs de C: à F: les noms de fichiers affectés apparaissent comme suit:

mircscript.ini
PROGRA ~ 1mircscript.ini

Le ver y écrit un petit script qui envoie sa copie à chaque utilisateur qui entre dans le canal infecté.

Pour envoyer des messages électroniques infectés, le ver crée le programme de script SCOOTER.VBS VisualBasic dans le répertoire système Windows et y écrit un programme de script qui connecte MS Outlook et envoie des messages électroniques aux 90 premiers utilisateurs du carnet d'adresses MS Outlook. Les messages ont une pièce jointe infectée (copie de ver) et le sujet est:

Plus vite .. plus dur .. votre PC fonctionnera comme un scooter!

Le corps du message est vide. Le ver engendre alors ce script, et se propage à Internet en conséquence.

Pour empêcher l'envoi en double, le ver crée le fichier SCOOTER.SYS dans le répertoire système Windows et y écrit le texte:

Plus vite .. plus dur .. scooter!

Si un tel fichier existe (avec toutes les données à l'intérieur), le ver ignore les messages infectés.

Pour déguiser son activité, le ver extrait de son corps le fichier musical SCOOTER.MP3 et l'ouvre.


Lien vers l'original