CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

Email-Worm.Win32.Scorpion

Classe Email-Worm
Plateforme Win32
Description

Détails techniques

C'est un ver dangereux qui se propage via Internet dans les e-mails infectés. Le ver lui-même est une application Windows écrite en Delphi et d'environ 370K.

Lors de son exécution (en cliquant sur le fichier joint, par exemple), il s'installe dans le système, s'enregistre comme un processus de service (application cachée), puis envoie des messages infectés (avec sa copie jointe) et, selon le système date, exécute sa routine de charge utile.

Installation au système

Le ver se copie dans le répertoire système de Windows avec un nom choisi au hasard parmi les variantes suivantes:

Play.exe
Bigs as.exe
Zorro.exe
Honey.exe
Jefes.exe
Corte de pelo.exe
Tangas.exe
Canibal.exe
Picadita.exe
Josefina.exe

et enregistre ce fichier dans la clé d'exécution automatique du Registre:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun Scorpion =% filename%

E-mail Spreading

Le ver s'envoie des machines infectées sous la forme d'un fichier attaché avec des noms aléatoires comme ci-dessus, et avec l'objet et le corps du message sélectionnés au hasard parmi les variantes suivantes:

Sujets:

Sorpresa !!!
Este si que es un buen presente
Diviertanse
Todo debe estar limpio
Echale un ojo a esto
Buena PECHOnalidad
Con todo mi aprecio
El aguijon de Scorpion
Traseros
Mujeres

Corps du message:

Abrelo sin miedo que, no es ningun Virus
Aucun virus tiene ningun
Abrelo pas de foin PELIGRO, esta limpio de Virus
Mira que bueno esta esto
Espero que esto te guste
Scorpion hace de las suyas
Esto si esta interesante abrelo que no foin peligro
Dime si te gusto
Aucun virus tiene, asi que abranlo y disfrutenlo
Observa le grand poder de las mujeres en su parte trasera

Pour envoyer des messages infectés, le ver se connecte à un serveur SMTP. Le ver obtient le nom du serveur SMTP à partir des paramètres du système par défaut.

Les adresses e-mail d'une victime sont obtenues à partir du fichier WAB (Carnet d'adresses Windows). Les messages sont également envoyés à chaque fois pour:

jajachistes@topica.com
tavojaja@yahoogroups.com
cartones@egroups.com
pensamientos@egroups.com
huateque@egroups.com
jacastro@geoline.net
forodelphi2000@yahoo.com.ar

Le ver envoie des e-mails immédiatement au premier démarrage, puis à intervalles de temps, en fonction de ses compteurs de temps internes.

Charges utiles et autres

Le ver trouve et supprime tous les fichiers * .INF et * .SYS sur un lecteur où Windows est installé, et le système est détruit à cause de cela dans la plupart des cas.

À partir de septembre et le 15 de chaque mois, le virus s'exécute avec un effet vidéo.

Le ver crée et modifie également les clés de registre suivantes:

HKEY_LOCAL_MACHINESoftwareScorpionAide
Mail = Nègre
Fack = Rojo

Ces clés indiquent que: 1ère clé – les messages électroniques ont déjà été envoyés; 2ème clé – Les fichiers INI et SYS ont été supprimés.

En fonction de ses compteurs de temps internes, le ver ferme également toutes les fenêtres d'application actives, ouvre / ferme le lecteur de CD, clignote les touches Num / Caps / Scroll-lock, et affiche 500 messages:

Scorpion ya est� aqu� !!!!


Lien vers l'original