Kaspersky Threats

Classe

Plateforme

Description

Détails techniques

C'est un ver dangereux qui se propage via Internet dans les e-mails infectés. Le ver lui-même est une application Windows écrite en Delphi et d'environ 370K.

Lors de son exécution (en cliquant sur le fichier joint, par exemple), il s'installe dans le système, s'enregistre comme un processus de service (application cachée), puis envoie des messages infectés (avec sa copie jointe) et, selon le système date, exécute sa routine de charge utile.

Installation au système

Le ver se copie dans le répertoire système de Windows avec un nom choisi au hasard parmi les variantes suivantes:

Play.exe
Bigs as.exe
Zorro.exe
Honey.exe
Jefes.exe
Corte de pelo.exe
Tangas.exe
Canibal.exe
Picadita.exe
Josefina.exe

et enregistre ce fichier dans la clé d'exécution automatique du Registre:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun Scorpion =% filename%

E-mail Spreading

Le ver s'envoie des machines infectées sous la forme d'un fichier attaché avec des noms aléatoires comme ci-dessus, et avec l'objet et le corps du message sélectionnés au hasard parmi les variantes suivantes:

Sujets:

Sorpresa !!!
Este si que es un buen presente
Diviertanse
Todo debe estar limpio
Echale un ojo a esto
Buena PECHOnalidad
Con todo mi aprecio
El aguijon de Scorpion
Traseros
Mujeres

Corps du message:

Abrelo sin miedo que, no es ningun Virus
Aucun virus tiene ningun
Abrelo pas de foin PELIGRO, esta limpio de Virus
Mira que bueno esta esto
Espero que esto te guste
Scorpion hace de las suyas
Esto si esta interesante abrelo que no foin peligro
Dime si te gusto
Aucun virus tiene, asi que abranlo y disfrutenlo
Observa le grand poder de las mujeres en su parte trasera

Pour envoyer des messages infectés, le ver se connecte à un serveur SMTP. Le ver obtient le nom du serveur SMTP à partir des paramètres du système par défaut.

Les adresses e-mail d'une victime sont obtenues à partir du fichier WAB (Carnet d'adresses Windows). Les messages sont également envoyés à chaque fois pour:

jajachistes@topica.com
tavojaja@yahoogroups.com
cartones@egroups.com
pensamientos@egroups.com
huateque@egroups.com
jacastro@geoline.net
forodelphi2000@yahoo.com.ar

Le ver envoie des e-mails immédiatement au premier démarrage, puis à intervalles de temps, en fonction de ses compteurs de temps internes.

Charges utiles et autres

Le ver trouve et supprime tous les fichiers * .INF et * .SYS sur un lecteur où Windows est installé, et le système est détruit à cause de cela dans la plupart des cas.

À partir de septembre et le 15 de chaque mois, le virus s'exécute avec un effet vidéo.

Le ver crée et modifie également les clés de registre suivantes:

HKEY_LOCAL_MACHINESoftwareScorpionAide
Mail = Nègre
Fack = Rojo

Ces clés indiquent que: 1ère clé – les messages électroniques ont déjà été envoyés; 2ème clé – Les fichiers INI et SYS ont été supprimés.

En fonction de ses compteurs de temps internes, le ver ferme également toutes les fenêtres d'application actives, ouvre / ferme le lecteur de CD, clignote les touches Num / Caps / Scroll-lock, et affiche 500 messages:

Scorpion ya est� aqu� !!!!

Lien vers l'original

Découvrez les statistiques de la propagation des menaces dans votre région

Classe	Email-Worm
Plateforme	Win32
Description	Détails techniques C'est un ver dangereux qui se propage via Internet dans les e-mails infectés. Le ver lui-même est une application Windows écrite en Delphi et d'environ 370K. Lors de son exécution (en cliquant sur le fichier joint, par exemple), il s'installe dans le système, s'enregistre comme un processus de service (application cachée), puis envoie des messages infectés (avec sa copie jointe) et, selon le système date, exécute sa routine de charge utile. Installation au système Le ver se copie dans le répertoire système de Windows avec un nom choisi au hasard parmi les variantes suivantes: Play.exe Bigs as.exe Zorro.exe Honey.exe Jefes.exe Corte de pelo.exe Tangas.exe Canibal.exe Picadita.exe Josefina.exe et enregistre ce fichier dans la clé d'exécution automatique du Registre: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun Scorpion =% filename% E-mail Spreading Le ver s'envoie des machines infectées sous la forme d'un fichier attaché avec des noms aléatoires comme ci-dessus, et avec l'objet et le corps du message sélectionnés au hasard parmi les variantes suivantes: Sujets: Sorpresa !!! Este si que es un buen presente Diviertanse Todo debe estar limpio Echale un ojo a esto Buena PECHOnalidad Con todo mi aprecio El aguijon de Scorpion Traseros Mujeres Corps du message: Abrelo sin miedo que, no es ningun Virus Aucun virus tiene ningun Abrelo pas de foin PELIGRO, esta limpio de Virus Mira que bueno esta esto Espero que esto te guste Scorpion hace de las suyas Esto si esta interesante abrelo que no foin peligro Dime si te gusto Aucun virus tiene, asi que abranlo y disfrutenlo Observa le grand poder de las mujeres en su parte trasera Pour envoyer des messages infectés, le ver se connecte à un serveur SMTP. Le ver obtient le nom du serveur SMTP à partir des paramètres du système par défaut. Les adresses e-mail d'une victime sont obtenues à partir du fichier WAB (Carnet d'adresses Windows). Les messages sont également envoyés à chaque fois pour: jajachistes@topica.com tavojaja@yahoogroups.com cartones@egroups.com pensamientos@egroups.com huateque@egroups.com jacastro@geoline.net forodelphi2000@yahoo.com.ar Le ver envoie des e-mails immédiatement au premier démarrage, puis à intervalles de temps, en fonction de ses compteurs de temps internes. Charges utiles et autres Le ver trouve et supprime tous les fichiers * .INF et * .SYS sur un lecteur où Windows est installé, et le système est détruit à cause de cela dans la plupart des cas. À partir de septembre et le 15 de chaque mois, le virus s'exécute avec un effet vidéo. Le ver crée et modifie également les clés de registre suivantes: HKEY_LOCAL_MACHINESoftwareScorpionAide Mail = Nègre Fack = Rojo Ces clés indiquent que: 1ère clé – les messages électroniques ont déjà été envoyés; 2ème clé – Les fichiers INI et SYS ont été supprimés. En fonction de ses compteurs de temps internes, le ver ferme également toutes les fenêtres d'application actives, ouvre / ferme le lecteur de CD, clignote les touches Num / Caps / Scroll-lock, et affiche 500 messages: Scorpion ya est� aqu� !!!!
	Lien vers l'original
	Découvrez les statistiques de la propagation des menaces dans votre région

Email-Worm.Win32.Scorpion