CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

Email-Worm.Win32.Shatrix

Classe Email-Worm
Plateforme Win32
Description

Détails techniques

C'est un virus-virus qui se propage via Internet attaché à des e-mails infectés. Le ver se propage également sur un réseau local en copiant sur des lecteurs partagés. Le ver lui-même est un fichier Windows PE EXE d'environ 380 Ko de longueur, et est écrit en Delphi.

Les messages infectés contiennent:

Objet : FW: Secouez un peu

Corps : Salut!
Cela va secouer votre monde 🙂
Cordialement,
%Nom d'utilisateur%

Pièce jointe : SHAKE.EXE

% username% est le nom de l'utilisateur des machines infectées.

Le ver est activé à partir d'un courrier électronique infecté uniquement lorsqu'un utilisateur clique sur un fichier joint. Le ver s'installe ensuite dans le système, exécute sa routine d'épandage et sa charge utile.

Pendant l'installation, le ver se copie dans le répertoire système Windows avec un nom aléatoire et enregistre ce fichier dans la clé d'exécution automatique du registre système:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun SystemInfo =% nom de fichier de ver%

Pour envoyer des messages infectés, le ver utilise MS Outlook MAPI. Pour obtenir les adresses des victimes, le ver recherche et analyse les fichiers suivants:

* .asp * .html * .htm

Selon la date du système, le ver crée des répertoires aléatoires et supprime les fichiers HTML avec des textes construits aléatoirement à partir des chaînes suivantes:

MatriX est là
MatriX vous a …
MatriX est tout autour de vous
01001101011000010111010001110010011010


Lien vers l'original