CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

Email-Worm.Win32.Silver

Classe Email-Worm
Plateforme Win32
Description

Détails techniques

C'est un ver dangereux qui se propage à travers les canaux Internet et IRC, ainsi que l'infection du réseau local. Le ver lui-même est une application Windows écrite en Delphi à environ 90 Ko de taille (le ver peut également être compressé par un outil de compression PE EXE, donc la taille du fichier résultat peut être inférieure à l'original).

Envoyer des emails

Pour envoyer des e-mails infectés à partir d'ordinateurs affectés, le ver essaie deux méthodes différentes. Tout d'abord, il cherche Eudora mailer installé dans le système. S'il y en a un, le ver scanne la base de données Eudora sortante (fichier OUT.MBX), obtient des adresses email à partir de là et envoie des emails infectés avec une copie de ver attachée à ces adresses. Les messages du ver ont:

Objet: concernant la semaine dernière …
Texte: S'il vous plaît examiner le ci-joint et revenir avec moi dès que possible.
Double-cliquez sur l'icône pour l'ouvrir.

Joindre: c: silver.exe

Ensuite, le ver tente d'installer un système de messagerie électronique qui ne dépend pas de la marque. Pour ce faire, le ver utilise des fonctions MAPI: il se connecte au système de messagerie installé, reçoit des messages à partir de là, lit les adresses e-mail et les utilise pour envoyer ses copies. Dans ce cas, les messages ont:

Sujet : Re: maintenant c'est une belle photo 🙂
Texte: Je pensais que vous pourriez être intéressé à la voir
Joindre: naked.jpg.exe

Infecter les clients mIRC et PIRCH

Pour affecter les clients IRC, le ver recherche les répertoires C: MIRC, C: MIRC32, C: PIRCH98 et remplace les scripts IRC par un programme qui envoie une copie de ver à chaque utilisateur qui entre dans le canal affecté.

Le script mIRC a également des fonctionnalités supplémentaires. Lorsqu'un utilisateur envoie au canal IRC un message contenant le texte «silverrat», le ver répond à l'utilisateur avec le message «J'ai le virus Silver Rat» (le ver envoie donc au maître des informations sur les ordinateurs infectés). Si le texte "pyrealrat" est trouvé dans le canal, le script ouvre le lecteur C: sur la machine affectée en tant que serveur de fichiers (qui donne accès au ver maître à toutes les données sur le lecteur C:).

Diffusion à travers le réseau local

Pour infecter des ordinateurs distants sur le réseau, le ver scanne tous les lecteurs de C: jusqu'à Z: et recherche le répertoire WINDOWS dans ce répertoire. S'il y en a un, le ver s'y copie et s'enregistre dans la section d'exécution automatique Windows du fichier WIN.INI ou dans le registre du système en fonction de la version de Windows (Win9x ou WinNT). Ainsi, le ver est capable d'infecter des ordinateurs distants au cas où leurs disques seraient partagés en lecture / écriture.

Installation dans le système

Pour s'installer dans le système, le ver se copie dans les répertoires avec les noms:

dans le répertoire Windows: SILVER.EXE, SILVER.VXD, NAKED.JPG.EXE, NAKED.JPG.SCR
en C: lecteur racine: SILVER.EXE

Le ver s'enregistre ensuite dans les champs à exécution automatique du registre système:

HKCUSoftwareMicrosoftWindowsCurrentVersionRun
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices
HKUSoftwareMicrosoftWindowsCurrentVersionRun

Tous ces champs contiendront l'instruction:

"Rat d'argent" = WinDirsilver.exe

où "WinDir" est le nom du répertoire Windows.

Par conséquent, la copie du ver est exécutée quatre fois à chaque démarrage de Windows. Pour s'exécuter plus de fois (et pour envoyer plus de courriels infectés en conséquence) le ver affecte également plus de clés de registre.

Affecter les clés de registre

Les applications Windows sont liées aux extensions de nom de fichier par des enregistrements spéciaux dans le registre système. Ces enregistrements pointent vers l'application qui est exécutée pour traiter les fichiers avec l'extension spécifiée. Lorsqu'un fichier est ouvert, Windows obtient son extension, puis se réfère au registre du système pour obtenir le nom de l'application qui traite les fichiers de ce type.

Le ver utilise cette fonctionnalité de Windows et modifie plus de 100 de ces clés de registre – il remplace la référence originale aux applications par une référence à sa propre copie (SILVER.VXD). Le ver fait cela pour trois clés différentes par application:

shellopencommand
shelleditcommand
Shellplaycommand

Les clés de registre corrigées ressemblent à ceci:

HKCRAIFFFILEshellopencommand = "C: WINDOWSsilver.vxd 33157"% 1 "%"
HKCRAIFFFILEshellplaycommand = "C: WINDOWSsilver.vxd 53157"% 1 "%"
HKCRASFFILEshellopencommand = "C: WINDOWSsilver.vxd 379157"% 1 "%"

où les chiffres de la ligne sont des ID pour exécuter le fichier hôte (voir ci-dessous).

La liste des applications affectées (les clés de registre qui relient l'extension du nom de fichier à l'application) est plutôt grande et ressemble à ceci:

 accesshtmlfile iqyfile regedit fonfile
 accessthmltemplate IVFfile regfile GatewayFile
 AIFFFILE jpegfile SHCmdFile htafile
 AllaireTemplate JSFile SoundRec icsfile
 anifile ldap tgafile mhtmlfile
 artfile mailto txtfile MMS
 Aspfile mic VBSFile MMST
 AudioCD MID Fichier wab_auto_file MMSU
 aufile money Winamp.File NSM
 AVIFile MOVFile WinRAR MSBD
 Mallette MPEGFILE WinRAR.ZIP motiffile
 cdafile MPlayer WinZip Msi.Package
 Bavarder mscfile wrifile Msi.Patch
 CSSfile msee WSFFile ofc.Document
 curfile msgfile x-internet-inscription dex.Document
 Drive MSProgramGroup xbmfile pjpegfile
 DrWatsonLog Net2PhoneApp xmlfile PNM
 Excel.Workspace NetscapeMarkup xnkfile qwb.Document
 ftp nouvelles xslfile rtsp
 giffile nntp m3ufile scpfile
 fichier d'aide Notes.Link Fichier de script ASFFile
 hlpfile ossfile ASXFile SSM
 Perspectives htfile BeHostFile ThemeFile
 htmlfile PBrush ChannelFile TIFImage.Document
 http pcxfile chm.file ttffile
 https pngfile CMCD WangImage.Document
 icofile powerpointhtmlfile Profil du gestionnaire de connexion Tableau blanc
 icquser ramfile eybfile WIFImage.Document
 Fichier RealMedia inifile fndfile WSHFile

Le ver stocke les clés d'origine dans l'autre clé de registre:

HKLMSoftwareSilver Rat

Cette clé contient la liste de toutes les clés qui ont été remplacées comme indiqué ci-dessus. Cette liste est utilisée par le ver pour exécuter l'application d'origine: le ver obtient le nom de l'application et la ligne de commande à partir de cette liste de "sauvegarde", et l'engendre.

Une telle méthode d'enregistrement du système affectant est très dangereuse. Dans le cas où la copie de vers est supprimée du système, Windows ne peut pas transmettre les fichiers à l'application répertoriés ci-dessus. Par conséquent, Windows reste principalement non fonctionnel après cela. Dans le cas où un fichier de la liste affectée est ouvert, il signale un message d'erreur que le SILVER.VXD associé ne peut pas être trouvé.

Le ver accorde une attention particulière aux fichiers de sauvegarde du système et se débarrasse d'eux pour empêcher la restauration des fichiers de registre à partir de la sauvegarde. Pour ce faire, le ver corrompt (remplace les premiers 5K de chaque fichier par des données de corbeille) et supprime les fichiers:

USER.DA0 et SYSTEM.DA0 dans le répertoire Windows
SYSTEM.1ST dans le répertoire racine du lecteur C:

"Désinstaller" la charge utile

Le ver a une routine de charge utile qui est exécutée dans un cas de "désinstallation".

Le ver crée la clé "uninstall" dans le registre du système:

HKLMSoftwareMicrosoftWindowsCurrentVersionUninstallSilver Rat
DisplayName = "Virus de rat argenté"
UninstallString = "c: silver.exe / uninstall"

Par conséquent, l'enregistrement de ver est visible dans la fenêtre ControlPanel / AddRemovePrograms en tant que "virus Silver Rat". Si vous cliquez sur le bouton "Supprimer", le ver affiche la boîte de message:

Du sang
"Je dois retourner quelques vidéos" – American Psycho

et remplit avec la poubelle la ligne d'en-tête dans la fenêtre RecycleBin (voir image).

Autres caractéristiques

Le ver recherche les applications antivirus actives et les termine par leurs noms:

Moniteur AVP
Norton AntiVirus Auto-Protect
Norton AntiVirus v5.0
VShieldWin_Class
NAI_VS_STAT
McAfee VirusScan Scheduler
Alarme de zone
WRQ NAMApp Class

Il recherche également les fichiers antivirus (bases de données) et les supprime:

* .AVC (AVP)
* .DAT (NAI)
BAVAP.VXD, NAVKRNLN.VXD (NAV)

Le ver essaie également d'affecter les fichiers VBS mais échoue à cause d'un bug.


Lien vers l'original