Searching
..

Click anywhere to stop

CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

Email-Worm.Win32.Silver

Classe Email-Worm
Plateforme Win32
Description

Détails techniques

C'est un ver dangereux qui se propage à travers les canaux Internet et IRC, ainsi que l'infection du réseau local. Le ver lui-même est une application Windows écrite en Delphi à environ 90 Ko de taille (le ver peut également être compressé par un outil de compression PE EXE, donc la taille du fichier résultat peut être inférieure à l'original).

Envoyer des emails

Pour envoyer des e-mails infectés à partir d'ordinateurs affectés, le ver essaie deux méthodes différentes. Tout d'abord, il cherche Eudora mailer installé dans le système. S'il y en a un, le ver scanne la base de données Eudora sortante (fichier OUT.MBX), obtient des adresses email à partir de là et envoie des emails infectés avec une copie de ver attachée à ces adresses. Les messages du ver ont:

Objet: concernant la semaine dernière …
Texte: S'il vous plaît examiner le ci-joint et revenir avec moi dès que possible.
Double-cliquez sur l'icône pour l'ouvrir.

Joindre: c: silver.exe

Ensuite, le ver tente d'installer un système de messagerie électronique qui ne dépend pas de la marque. Pour ce faire, le ver utilise des fonctions MAPI: il se connecte au système de messagerie installé, reçoit des messages à partir de là, lit les adresses e-mail et les utilise pour envoyer ses copies. Dans ce cas, les messages ont:

Sujet : Re: maintenant c'est une belle photo 🙂
Texte: Je pensais que vous pourriez être intéressé à la voir
Joindre: naked.jpg.exe

Infecter les clients mIRC et PIRCH

Pour affecter les clients IRC, le ver recherche les répertoires C: MIRC, C: MIRC32, C: PIRCH98 et remplace les scripts IRC par un programme qui envoie une copie de ver à chaque utilisateur qui entre dans le canal affecté.

Le script mIRC a également des fonctionnalités supplémentaires. Lorsqu'un utilisateur envoie au canal IRC un message contenant le texte «silverrat», le ver répond à l'utilisateur avec le message «J'ai le virus Silver Rat» (le ver envoie donc au maître des informations sur les ordinateurs infectés). Si le texte "pyrealrat" est trouvé dans le canal, le script ouvre le lecteur C: sur la machine affectée en tant que serveur de fichiers (qui donne accès au ver maître à toutes les données sur le lecteur C:).

Diffusion à travers le réseau local

Pour infecter des ordinateurs distants sur le réseau, le ver scanne tous les lecteurs de C: jusqu'à Z: et recherche le répertoire WINDOWS dans ce répertoire. S'il y en a un, le ver s'y copie et s'enregistre dans la section d'exécution automatique Windows du fichier WIN.INI ou dans le registre du système en fonction de la version de Windows (Win9x ou WinNT). Ainsi, le ver est capable d'infecter des ordinateurs distants au cas où leurs disques seraient partagés en lecture / écriture.

Installation dans le système

Pour s'installer dans le système, le ver se copie dans les répertoires avec les noms:

dans le répertoire Windows: SILVER.EXE, SILVER.VXD, NAKED.JPG.EXE, NAKED.JPG.SCR
en C: lecteur racine: SILVER.EXE

Le ver s'enregistre ensuite dans les champs à exécution automatique du registre système:

HKCUSoftwareMicrosoftWindowsCurrentVersionRun
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices
HKUSoftwareMicrosoftWindowsCurrentVersionRun

Tous ces champs contiendront l'instruction:

"Rat d'argent" = WinDirsilver.exe

où "WinDir" est le nom du répertoire Windows.

Par conséquent, la copie du ver est exécutée quatre fois à chaque démarrage de Windows. Pour s'exécuter plus de fois (et pour envoyer plus de courriels infectés en conséquence) le ver affecte également plus de clés de registre.

Affecter les clés de registre

Les applications Windows sont liées aux extensions de nom de fichier par des enregistrements spéciaux dans le registre système. Ces enregistrements pointent vers l'application qui est exécutée pour traiter les fichiers avec l'extension spécifiée. Lorsqu'un fichier est ouvert, Windows obtient son extension, puis se réfère au registre du système pour obtenir le nom de l'application qui traite les fichiers de ce type.

Le ver utilise cette fonctionnalité de Windows et modifie plus de 100 de ces clés de registre – il remplace la référence originale aux applications par une référence à sa propre copie (SILVER.VXD). Le ver fait cela pour trois clés différentes par application:

shellopencommand
shelleditcommand
Shellplaycommand

Les clés de registre corrigées ressemblent à ceci:

HKCRAIFFFILEshellopencommand = "C: WINDOWSsilver.vxd 33157"% 1 "%"
HKCRAIFFFILEshellplaycommand = "C: WINDOWSsilver.vxd 53157"% 1 "%"
HKCRASFFILEshellopencommand = "C: WINDOWSsilver.vxd 379157"% 1 "%"

où les chiffres de la ligne sont des ID pour exécuter le fichier hôte (voir ci-dessous).

La liste des applications affectées (les clés de registre qui relient l'extension du nom de fichier à l'application) est plutôt grande et ressemble à ceci:

 accesshtmlfile iqyfile regedit fonfile accessthmltemplate IVFfile regfile GatewayFile AIFFFILE jpegfile SHCmdFile htafile AllaireTemplate JSFile SoundRec icsfile anifile ldap tgafile mhtmlfile artfile mailto txtfile MMS Aspfile mic VBSFile MMST AudioCD MID Fichier wab_auto_file MMSU aufile money Winamp.File NSM AVIFile MOVFile WinRAR MSBD Mallette MPEGFILE WinRAR.ZIP motiffile cdafile MPlayer WinZip Msi.Package Bavarder mscfile wrifile Msi.Patch CSSfile msee WSFFile ofc.Document curfile msgfile x-internet-inscription dex.Document Drive MSProgramGroup xbmfile pjpegfile DrWatsonLog Net2PhoneApp xmlfile PNM Excel.Workspace NetscapeMarkup xnkfile qwb.Document ftp nouvelles xslfile rtsp giffile nntp m3ufile scpfile fichier d'aide Notes.Link Fichier de script ASFFile hlpfile ossfile ASXFile SSM Perspectives htfile BeHostFile ThemeFile htmlfile PBrush ChannelFile TIFImage.Document http pcxfile chm.file ttffile https pngfile CMCD WangImage.Document icofile powerpointhtmlfile Profil du gestionnaire de connexion Tableau blanc icquser ramfile eybfile WIFImage.Document Fichier RealMedia inifile fndfile WSHFile

Le ver stocke les clés d'origine dans l'autre clé de registre:

HKLMSoftwareSilver Rat

Cette clé contient la liste de toutes les clés qui ont été remplacées comme indiqué ci-dessus. Cette liste est utilisée par le ver pour exécuter l'application d'origine: le ver obtient le nom de l'application et la ligne de commande à partir de cette liste de "sauvegarde", et l'engendre.

Une telle méthode d'enregistrement du système affectant est très dangereuse. Dans le cas où la copie de vers est supprimée du système, Windows ne peut pas transmettre les fichiers à l'application répertoriés ci-dessus. Par conséquent, Windows reste principalement non fonctionnel après cela. Dans le cas où un fichier de la liste affectée est ouvert, il signale un message d'erreur que le SILVER.VXD associé ne peut pas être trouvé.

Le ver accorde une attention particulière aux fichiers de sauvegarde du système et se débarrasse d'eux pour empêcher la restauration des fichiers de registre à partir de la sauvegarde. Pour ce faire, le ver corrompt (remplace les premiers 5K de chaque fichier par des données de corbeille) et supprime les fichiers:

USER.DA0 et SYSTEM.DA0 dans le répertoire Windows
SYSTEM.1ST dans le répertoire racine du lecteur C:

"Désinstaller" la charge utile

Le ver a une routine de charge utile qui est exécutée dans un cas de "désinstallation".

Le ver crée la clé "uninstall" dans le registre du système:

HKLMSoftwareMicrosoftWindowsCurrentVersionUninstallSilver Rat
DisplayName = "Virus de rat argenté"
UninstallString = "c: silver.exe / uninstall"

Par conséquent, l'enregistrement de ver est visible dans la fenêtre ControlPanel / AddRemovePrograms en tant que "virus Silver Rat". Si vous cliquez sur le bouton "Supprimer", le ver affiche la boîte de message:

Du sang
"Je dois retourner quelques vidéos" – American Psycho

et remplit avec la poubelle la ligne d'en-tête dans la fenêtre RecycleBin (voir image).

Autres caractéristiques

Le ver recherche les applications antivirus actives et les termine par leurs noms:

Moniteur AVP
Norton AntiVirus Auto-Protect
Norton AntiVirus v5.0
VShieldWin_Class
NAI_VS_STAT
McAfee VirusScan Scheduler
Alarme de zone
WRQ NAMApp Class

Il recherche également les fichiers antivirus (bases de données) et les supprime:

* .AVC (AVP)
* .DAT (NAI)
BAVAP.VXD, NAVKRNLN.VXD (NAV)

Le ver essaie également d'affecter les fichiers VBS mais échoue à cause d'un bug.


Lien vers l'original
Découvrez les statistiques de la propagation des menaces dans votre région