CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS. Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.
Solutions pour:
Particuliers
Petites entreprises
Moyennes entreprises
Grandes entreprises
Vulnérabilités Menaces
Accueil Menaces Email-Worm Win32

Email-Worm.Win32.Silver

Classe
Email-Worm
Plateforme
Win32

Classe pour les parents: VirWare

Les virus et les vers sont des programmes malveillants qui s'auto-répliquent sur des ordinateurs ou via des réseaux informatiques sans que l'utilisateur en soit conscient; chaque copie ultérieure de tels programmes malveillants est également capable de s'autoreproduire. Les programmes malveillants qui se propagent via des réseaux ou infectent des machines distantes lorsque le "propriétaire" (par exemple Backdoors) ou les programmes qui créent plusieurs copies qui ne peuvent pas s'auto-répliquer ne font pas partie de la sous-classe Virus and Worms. La caractéristique principale utilisée pour déterminer si un programme est classé comme un comportement distinct dans la sous-classe Virus and Worms est la manière dont le programme se propage (c'est-à-dire comment le programme malveillant répand des copies de lui-même via des ressources locales ou réseau). en tant que fichiers envoyés en pièces jointes, via un lien vers une ressource Web ou FTP, via un lien envoyé dans un message ICQ ou IRC, via des réseaux de partage de fichiers P2P, etc. Certains vers se propagent sous la forme de paquets réseau; ceux-ci pénètrent directement dans la mémoire de l'ordinateur et le code du ver est alors activé. Worms utilise les techniques suivantes pour pénétrer des ordinateurs distants et lancer des copies d'eux-mêmes: ingénierie sociale (par exemple, un message électronique suggérant que l'utilisateur ouvre un fichier joint), exploitation des erreurs de configuration réseau (par exemple copie sur disque entièrement accessible) failles dans la sécurité du système d'exploitation et des applications. Les virus peuvent être divisés en fonction de la méthode utilisée pour infecter un ordinateur: virus de fichiers virus du secteur de démarrage virus de script virus de virus Tous les programmes de cette sous-classe peuvent avoir des fonctions de Troie supplémentaires. Il convient également de noter que de nombreux vers utilisent plus d'une méthode pour diffuser des copies via des réseaux. Les règles de classification des objets détectés avec des fonctions multiples doivent être utilisées pour classer ces types de vers.

Classe: Email-Worm

Email-Worms propagation par e-mail. Le ver envoie une copie de lui-même en pièce jointe à un message électronique ou un lien vers son fichier sur une ressource réseau (par exemple, une URL vers un fichier infecté sur un site Web compromis ou un site Web appartenant à un pirate). Dans le premier cas, le code du ver est activé lorsque la pièce jointe infectée est ouverte (lancée). Dans le second cas, le code est activé lorsque le lien vers le fichier infecté est ouvert. Dans les deux cas, le résultat est le même: le code du ver est activé. Email-Worms utilise une gamme de méthodes pour envoyer des emails infectés. Les plus courantes sont: l'utilisation d'une connexion directe à un serveur SMTP à l'aide du répertoire de messagerie intégré dans le code du ver en utilisant les services MS Outlook à l'aide des fonctions Windows MAPI. Email-Worms utilisent un certain nombre de sources différentes pour trouver les adresses email auxquelles les emails infectés seront envoyés: le carnet d'adresses dans MS Outlook une base de données d'adresses WAB .txt fichiers stockés sur le disque dur: le ver peut identifier les chaînes dans les fichiers texte Les e-mails adressent des e-mails dans la boîte de réception (certains e-mails peuvent même répondre aux e-mails trouvés dans la boîte de réception) De nombreux vers de messagerie utilisent plus d'une des sources répertoriées ci-dessus. Il existe également d'autres sources d'adresses électroniques, telles que les carnets d'adresses associés aux services de messagerie Web.

Plus d'informations

Plateforme: Win32

Win32 est une API sur les systèmes d'exploitation Windows NT (Windows XP, Windows 7, etc.) qui prend en charge l'exécution des applications 32 bits. L'une des plateformes de programmation les plus répandues au monde.

Description

Détails techniques

C'est un ver dangereux qui se propage à travers les canaux Internet et IRC, ainsi que l'infection du réseau local. Le ver lui-même est une application Windows écrite en Delphi à environ 90 Ko de taille (le ver peut également être compressé par un outil de compression PE EXE, donc la taille du fichier résultat peut être inférieure à l'original).

Envoyer des emails

Pour envoyer des e-mails infectés à partir d'ordinateurs affectés, le ver essaie deux méthodes différentes. Tout d'abord, il cherche Eudora mailer installé dans le système. S'il y en a un, le ver scanne la base de données Eudora sortante (fichier OUT.MBX), obtient des adresses email à partir de là et envoie des emails infectés avec une copie de ver attachée à ces adresses. Les messages du ver ont:

Objet: concernant la semaine dernière ...
Texte: S'il vous plaît examiner le ci-joint et revenir avec moi dès que possible.
Double-cliquez sur l'icône pour l'ouvrir.
Joindre: c: silver.exe

Ensuite, le ver tente d'installer un système de messagerie électronique qui ne dépend pas de la marque. Pour ce faire, le ver utilise des fonctions MAPI: il se connecte au système de messagerie installé, reçoit des messages à partir de là, lit les adresses e-mail et les utilise pour envoyer ses copies. Dans ce cas, les messages ont:

Sujet : Re: maintenant c'est une belle photo :-)
Texte: Je pensais que vous pourriez être intéressé à la voir
Joindre: naked.jpg.exe

Infecter les clients mIRC et PIRCH

Pour affecter les clients IRC, le ver recherche les répertoires C: MIRC, C: MIRC32, C: PIRCH98 et remplace les scripts IRC par un programme qui envoie une copie de ver à chaque utilisateur qui entre dans le canal affecté.

Le script mIRC a également des fonctionnalités supplémentaires. Lorsqu'un utilisateur envoie au canal IRC un message contenant le texte «silverrat», le ver répond à l'utilisateur avec le message «J'ai le virus Silver Rat» (le ver envoie donc au maître des informations sur les ordinateurs infectés). Si le texte "pyrealrat" est trouvé dans le canal, le script ouvre le lecteur C: sur la machine affectée en tant que serveur de fichiers (qui donne accès au ver maître à toutes les données sur le lecteur C:).

Diffusion à travers le réseau local

Pour infecter des ordinateurs distants sur le réseau, le ver scanne tous les lecteurs de C: jusqu'à Z: et recherche le répertoire WINDOWS dans ce répertoire. S'il y en a un, le ver s'y copie et s'enregistre dans la section d'exécution automatique Windows du fichier WIN.INI ou dans le registre du système en fonction de la version de Windows (Win9x ou WinNT). Ainsi, le ver est capable d'infecter des ordinateurs distants au cas où leurs disques seraient partagés en lecture / écriture.

Installation dans le système

Pour s'installer dans le système, le ver se copie dans les répertoires avec les noms:

dans le répertoire Windows: SILVER.EXE, SILVER.VXD, NAKED.JPG.EXE, NAKED.JPG.SCR
en C: lecteur racine: SILVER.EXE

Le ver s'enregistre ensuite dans les champs à exécution automatique du registre système:

HKCUSoftwareMicrosoftWindowsCurrentVersionRun
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices
HKUSoftwareMicrosoftWindowsCurrentVersionRun

Tous ces champs contiendront l'instruction:

"Rat d'argent" = WinDirsilver.exe

où "WinDir" est le nom du répertoire Windows.

Par conséquent, la copie du ver est exécutée quatre fois à chaque démarrage de Windows. Pour s'exécuter plus de fois (et pour envoyer plus de courriels infectés en conséquence) le ver affecte également plus de clés de registre.

Affecter les clés de registre

Les applications Windows sont liées aux extensions de nom de fichier par des enregistrements spéciaux dans le registre système. Ces enregistrements pointent vers l'application qui est exécutée pour traiter les fichiers avec l'extension spécifiée. Lorsqu'un fichier est ouvert, Windows obtient son extension, puis se réfère au registre du système pour obtenir le nom de l'application qui traite les fichiers de ce type.

Le ver utilise cette fonctionnalité de Windows et modifie plus de 100 de ces clés de registre - il remplace la référence originale aux applications par une référence à sa propre copie (SILVER.VXD). Le ver fait cela pour trois clés différentes par application:

shellopencommand
shelleditcommand
Shellplaycommand

Les clés de registre corrigées ressemblent à ceci:

HKCRAIFFFILEshellopencommand = "C: WINDOWSsilver.vxd 33157"% 1 "%"
HKCRAIFFFILEshellplaycommand = "C: WINDOWSsilver.vxd 53157"% 1 "%"
HKCRASFFILEshellopencommand = "C: WINDOWSsilver.vxd 379157"% 1 "%"

où les chiffres de la ligne sont des ID pour exécuter le fichier hôte (voir ci-dessous).

La liste des applications affectées (les clés de registre qui relient l'extension du nom de fichier à l'application) est plutôt grande et ressemble à ceci: 

 accesshtmlfile iqyfile regedit fonfile accessthmltemplate IVFfile regfile GatewayFile AIFFFILE jpegfile SHCmdFile htafile AllaireTemplate JSFile SoundRec icsfile anifile ldap tgafile mhtmlfile artfile mailto txtfile MMS Aspfile mic VBSFile MMST AudioCD MID Fichier wab_auto_file MMSU aufile money Winamp.File NSM AVIFile MOVFile WinRAR MSBD Mallette MPEGFILE WinRAR.ZIP motiffile cdafile MPlayer WinZip Msi.Package Bavarder mscfile wrifile Msi.Patch CSSfile msee WSFFile ofc.Document curfile msgfile x-internet-inscription dex.Document Drive MSProgramGroup xbmfile pjpegfile DrWatsonLog Net2PhoneApp xmlfile PNM Excel.Workspace NetscapeMarkup xnkfile qwb.Document ftp nouvelles xslfile rtsp giffile nntp m3ufile scpfile fichier d'aide Notes.Link Fichier de script ASFFile hlpfile ossfile ASXFile SSM Perspectives htfile BeHostFile ThemeFile htmlfile PBrush ChannelFile TIFImage.Document http pcxfile chm.file ttffile https pngfile CMCD WangImage.Document icofile powerpointhtmlfile Profil du gestionnaire de connexion Tableau blanc icquser ramfile eybfile WIFImage.Document Fichier RealMedia inifile fndfile WSHFile

Le ver stocke les clés d'origine dans l'autre clé de registre:

HKLMSoftwareSilver Rat

Cette clé contient la liste de toutes les clés qui ont été remplacées comme indiqué ci-dessus. Cette liste est utilisée par le ver pour exécuter l'application d'origine: le ver obtient le nom de l'application et la ligne de commande à partir de cette liste de "sauvegarde", et l'engendre.

Une telle méthode d'enregistrement du système affectant est très dangereuse. Dans le cas où la copie de vers est supprimée du système, Windows ne peut pas transmettre les fichiers à l'application répertoriés ci-dessus. Par conséquent, Windows reste principalement non fonctionnel après cela. Dans le cas où un fichier de la liste affectée est ouvert, il signale un message d'erreur que le SILVER.VXD associé ne peut pas être trouvé.

Le ver accorde une attention particulière aux fichiers de sauvegarde du système et se débarrasse d'eux pour empêcher la restauration des fichiers de registre à partir de la sauvegarde. Pour ce faire, le ver corrompt (remplace les premiers 5K de chaque fichier par des données de corbeille) et supprime les fichiers:

USER.DA0 et SYSTEM.DA0 dans le répertoire Windows
SYSTEM.1ST dans le répertoire racine du lecteur C:

"Désinstaller" la charge utile

Le ver a une routine de charge utile qui est exécutée dans un cas de "désinstallation".

Le ver crée la clé "uninstall" dans le registre du système:

HKLMSoftwareMicrosoftWindowsCurrentVersionUninstallSilver Rat
DisplayName = "Virus de rat argenté"
UninstallString = "c: silver.exe / uninstall"

Par conséquent, l'enregistrement de ver est visible dans la fenêtre ControlPanel / AddRemovePrograms en tant que "virus Silver Rat". Si vous cliquez sur le bouton "Supprimer", le ver affiche la boîte de message:

Du sang
"Je dois retourner quelques vidéos" - American Psycho

et remplit avec la poubelle la ligne d'en-tête dans la fenêtre RecycleBin (voir image).

Autres caractéristiques

Le ver recherche les applications antivirus actives et les termine par leurs noms:

Moniteur AVP
Norton AntiVirus Auto-Protect
Norton AntiVirus v5.0
VShieldWin_Class
NAI_VS_STAT
McAfee VirusScan Scheduler
Alarme de zone
WRQ NAMApp Class

Il recherche également les fichiers antivirus (bases de données) et les supprime:

* .AVC (AVP)
* .DAT (NAI)
BAVAP.VXD, NAVKRNLN.VXD (NAV)

Le ver essaie également d'affecter les fichiers VBS mais échoue à cause d'un bug.

En savoir plus

Découvrez les statistiques de la propagation des vulnérabilités dans votre région statistics.securelist.com

Vous avez trouvé une inexactitude dans la description de cette vulnérabilité ? Faites-le nous savoir !
Kaspersky!
Votre vie en ligne mérite une protection complète!
Apprendre encore plus
Kaspersky IT Security Calculator:
Calculez le profil de sécurité de votre entreprise
Apprendre encore plus
Related articles
24 April 2024
Securelist
Assessing the Y, and How, of the XZ Utils incident
22 April 2024
Securelist
ToddyCat is making holes in your infrastructure
18 April 2024
Securelist
DuneQuixote campaign targets Middle Eastern entities with “CR4T” malware
17 April 2024
Securelist
SoumniBot: the new Android banker’s unique techniques
15 April 2024
Securelist
Using the LockBit builder to generate targeted ransomware
12 April 2024
Securelist
XZ backdoor story – Initial analysis
Vous avez trouvé une inexactitude dans la description de cette vulnérabilité ?
Si vous avez découvert une nouvelle menace ou vulnérabilité, veuillez nous en informer par e-mail :
newvirus@kaspersky.com
Vous avez découvert une nouvelle menace ou vulnérabilité ?
Si vous avez découvert une nouvelle menace ou vulnérabilité, veuillez nous en informer par e-mail :
newvirus@kaspersky.com
Solutions pour
Particuliers
Petites entreprises
Moyennes entreprises
Grandes entreprises
Select language
Sorting
Menace
Confirm changes?
Your message has been sent successfully.