CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

Email-Worm.Win32.Sidex

Classe Email-Worm
Plateforme Win32
Description

Détails techniques

C'est un virus qui se propage via Internet attaché à un courrier électronique infecté, infectant le réseau local. Le ver lui-même est un fichier Windows PE EXE d'environ 107 Ko (PCShrink compressé, 202K décompressé), et est écrit en Delphi.

Les messages infectés contiennent:

Sujet : Sites Pornos
Corps : Tudo bem to te enviando uma lista dos melhores sites pornos da, br> uma olhada depois moi avisa c voce gostou mais um Abra��o Do
seu melhor amigo 😉
Pièce jointe : SitesDeSexo.doc.exe

Le ver s'active à partir d'un courrier électronique infecté uniquement lorsqu'un utilisateur clique sur un fichier joint. Le ver s'installe ensuite dans le système, exécute sa routine d'épandage et sa charge utile.

Installation

Lors de l'installation, le ver se copie dans le répertoire système Windows avec le nom VxBrasil.exe et enregistre ce fichier dans la commande d'exécution automatique du fichier WIN.INI suivant:

[windows] run =% SystemDir% VxBrasil.exe

% SystemDir% est le répertoire système Windows.

Diffusion

Pour envoyer des messages infectés, le ver utilise les fonctions Windows MAPI et "répond" aux messages des boîtes de messagerie.

Réseau local

Le ver analyse les lecteurs partagés du réseau, recherche les répertoires contenant un fichier WIN.INI, puis s'y copie avec le nom "666hacked.exe" et enregistre cette copie dans un fichier WIN.INI dans la même clé "windows / run" que au dessus.

Autre

Le ver installe également un cheval de Troie de porte dérobée ("Backdoor.DRA") sur une machine infectée. Pour ce faire, il extrait le code backdoor de ses ressources, l'enregistre dans les fichiers C: ALEVIRUS.EXE et C: BACK.EXE et le génère.

Le ver crée le fichier dekoy C: SitesDeSexo.doc, et y écrit le texte suivant:

Estes s�o os melhores sites de SEXO da internet confira 🙂

Le ver écrit une liste de sites porno et ouvre ce fichier.


Lien vers l'original