Classe pour les parents: VirWare
Les virus et les vers sont des programmes malveillants qui s'auto-répliquent sur des ordinateurs ou via des réseaux informatiques sans que l'utilisateur en soit conscient; chaque copie ultérieure de tels programmes malveillants est également capable de s'autoreproduire. Les programmes malveillants qui se propagent via des réseaux ou infectent des machines distantes lorsque le "propriétaire" (par exemple Backdoors) ou les programmes qui créent plusieurs copies qui ne peuvent pas s'auto-répliquer ne font pas partie de la sous-classe Virus and Worms. La caractéristique principale utilisée pour déterminer si un programme est classé comme un comportement distinct dans la sous-classe Virus and Worms est la manière dont le programme se propage (c'est-à-dire comment le programme malveillant répand des copies de lui-même via des ressources locales ou réseau). en tant que fichiers envoyés en pièces jointes, via un lien vers une ressource Web ou FTP, via un lien envoyé dans un message ICQ ou IRC, via des réseaux de partage de fichiers P2P, etc. Certains vers se propagent sous la forme de paquets réseau; ceux-ci pénètrent directement dans la mémoire de l'ordinateur et le code du ver est alors activé. Worms utilise les techniques suivantes pour pénétrer des ordinateurs distants et lancer des copies d'eux-mêmes: ingénierie sociale (par exemple, un message électronique suggérant que l'utilisateur ouvre un fichier joint), exploitation des erreurs de configuration réseau (par exemple copie sur disque entièrement accessible) failles dans la sécurité du système d'exploitation et des applications. Les virus peuvent être divisés en fonction de la méthode utilisée pour infecter un ordinateur: virus de fichiers virus du secteur de démarrage virus de script virus de virus Tous les programmes de cette sous-classe peuvent avoir des fonctions de Troie supplémentaires. Il convient également de noter que de nombreux vers utilisent plus d'une méthode pour diffuser des copies via des réseaux. Les règles de classification des objets détectés avec des fonctions multiples doivent être utilisées pour classer ces types de vers.Classe: Email-Worm
Email-Worms propagation par e-mail. Le ver envoie une copie de lui-même en pièce jointe à un message électronique ou un lien vers son fichier sur une ressource réseau (par exemple, une URL vers un fichier infecté sur un site Web compromis ou un site Web appartenant à un pirate). Dans le premier cas, le code du ver est activé lorsque la pièce jointe infectée est ouverte (lancée). Dans le second cas, le code est activé lorsque le lien vers le fichier infecté est ouvert. Dans les deux cas, le résultat est le même: le code du ver est activé. Email-Worms utilise une gamme de méthodes pour envoyer des emails infectés. Les plus courantes sont: l'utilisation d'une connexion directe à un serveur SMTP à l'aide du répertoire de messagerie intégré dans le code du ver en utilisant les services MS Outlook à l'aide des fonctions Windows MAPI. Email-Worms utilisent un certain nombre de sources différentes pour trouver les adresses email auxquelles les emails infectés seront envoyés: le carnet d'adresses dans MS Outlook une base de données d'adresses WAB .txt fichiers stockés sur le disque dur: le ver peut identifier les chaînes dans les fichiers texte Les e-mails adressent des e-mails dans la boîte de réception (certains e-mails peuvent même répondre aux e-mails trouvés dans la boîte de réception) De nombreux vers de messagerie utilisent plus d'une des sources répertoriées ci-dessus. Il existe également d'autres sources d'adresses électroniques, telles que les carnets d'adresses associés aux services de messagerie Web.Plus d'informations
Plateforme: Win32
Win32 est une API sur les systèmes d'exploitation Windows NT (Windows XP, Windows 7, etc.) qui prend en charge l'exécution des applications 32 bits. L'une des plateformes de programmation les plus répandues au monde.Description
Détails techniques
Swen est un ver-virus très dangereux qui se propage sur Internet via le courrier électronique (sous la forme d'une pièce jointe infectée), le réseau de partage de fichiers Kazaa, les canaux IRC et les ressources réseau ouvertes.
Swen est écrit en Microsoft Visual C ++ et mesure 105 Ko (106496 octets).
Le ver s'active quand une victime lance le fichier infecté (double-cliquant sur la pièce jointe) ou lorsque l'application de messagerie d'une machine victime est vulnérable à la vulnérabilité IFrame.FileDownload (également exploitée par les vers Internet Klez et Tanatos ). Une fois exécuté, Swen s'installe dans le système et commence sa routine de propagation.
Vous pouvez télécharger le correctif publié en mars 2001 pour la vulnérabilité IFrame: Microsoft Security Bulletin MS01-20 .
Le ver bloque de nombreux programmes anti-virus et pare-feu. Son algorithme et des parties du texte de code sont presque identiques à celles d'un autre ver Internet appelé I-Worm.Gibe , bien que le langage de programmation utilisé soit différent.
Installation
Lors du premier lancement, le ver peut afficher la boîte de message "Microsoft Internet Update Pack". Ensuite, il imite l'installation du correctif:
Le ver se copie ensuite sous l'un des noms ci-dessous dans le répertoire Windows. Le nom peut être composé de plusieurs parties.
Première possibilité:
- Kazaa Lite
KaZaA media desktop
KaZaA
WinRar
WinZip
Winamp
Mirc
Télécharger l'accélérateur
GetRight FTP
Windows Media Player - Générateur de clé
Pirater
Piraté
Warez
Télécharger
Installateur
Télécharger
Installateur
Deuxième possibilité:
- Épouvantail
Yaha
Moquerie
Sircam
Tellement gros
Klez - Dissolvant
RemovalTool
Nettoyeur
Fixtool
Troisième possibilité:
Aol Hacker
Yahoo Hacker
Hotmail Hacker
10.000 publications en série
Jenna Jameson
Hardporn
Sexe
Émulateur Xbox
Émulateur Ps2
Mise à jour Xp
Xxx Vidéo
Blague malade
Photos Xxx
Ma soeur nue
Écran de veille hallucinogène
Cuisiner avec du cannabis
Champignons magiques en pleine croissance
Générateur de virus
Le nouveau fichier est enregistré dans la clé d'exécution automatique du Registre système Windows:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun séquence aléatoire =% windir% nom de fichier autorun
Une clé d'identification est créée, qui contient les paramètres de configuration des vers:
HKLMSoftwareMicrosoftWindowsCurrentVersionExplorer séquence aléatoire
Le ver crée ensuite un fichier nommé d'après la machine hôte infectée avec une extension BAT dans le dossier Windows. Le fichier contient les commandes suivantes:
@ÉCHO OFF
SI PAS "% 1" == "".exe% 1
Ensuite, le ver modifie les valeurs de clé dans HKLMSoftwareClasses de manière à s'accrocher à l'exécution chaque fois que les types de fichiers BAT, COM, EXE, PIF, REG et SCR sont lancés.
HKCRbatfileshellopencommand Par défaut =% windir%"%1" %*HKCRcomfileshellopencommand Par défaut =% windir% "%1" %* HKEY_CLASSES_ROOTexefileshellopencommand Par défaut =% windir% "%1" %*HKCRpiffileshellopencommand Par défaut =% windir% "%1" %*HKCRregfileshellopencommand Par défaut =% windir% showerrorHKCRscrfileshellconfigcommand Par défaut =% windir% "%1" HKCRscrfileshellopencommand Par défaut =% windir% "% 1" / S
Désactive la capacité de l'utilisateur à modifier le registre du système:
HKCU.DEFAULTSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem DisableRegistryTools = 01 00 00 00
Au premier lancement, le ver accède au site Web distant suivant:
http://ww2.fce.vutbr.cz/bin/counter.gif/link=bacillus&width=6&set=cnt006
Ce compteur indique le nombre d'ordinateurs infectés.
Lors de la tentative d'exécution d'une nouvelle copie du ver sur la machine déjà infectée, le ver affiche le message suivant:
Le ver scanne tous les disques pour les fichiers avec des extensions DBX, MDX, EML, WAB et qui contiennent aussi HT ou ASP dans l'extension. Swem extrait ensuite toutes les adresses e-mail qu'il peut trouver et les enregistre dans un fichier nommé germs0.dbv .
Le ver tente de se connecter à l'un des 350 serveurs identifiés dans le fichier swen1.dat , afin d'envoyer des emails infectés. Si la connexion est impossible, le ver affiche ensuite le message d'erreur suivant à propos d'une exception MAPI 32:
et demande une adresse e-mail correcte, ainsi qu'un serveur SMTP correct.
Propagation par email
Le ver s'envoie lui-même à toutes les adresses disponibles en utilisant une connexion directe à un serveur SMTP. Les e-mails infectés sont au format HTML et contiennent une pièce jointe (le ver réel).
Nom de l'expéditeur (composé de plusieurs parties):
- Microsoft
MME - (ne peut pas être utilisé)
société - (ne peut pas être utilisé)
Programme
l'Internet
Réseau - (toujours inclus avec la partie 3)
Sécurité - (ne peut pas être utilisé)
Division
Section
département
Centre - (ne peut pas être utilisé)
Publique
Technique
Client - (ne peut pas être utilisé)
Bulletin
Prestations de service
Assistance
Soutien
Par exemple:
Section Microsoft Internet Security
Assistance technique MS
Adresse de l'expéditeur (composée de 2 parties):
- avant "@": séquence aléatoire (exemple: tuevprkpevcg-gxwi @, dwffa @);
- après "@": se compose de 2 parties (bien qu'une seule puisse être utilisée):
- nouvelles
bulletin
bulletin
confiance
conseiller
mises à jour
technet
soutien - msdn
Microsoft
Mme
msn
Par exemple: "newsletter.microsoft" ou simplement "support". Si deux parties sont utilisées, elles sont séparées par "." Ou "_".
Après le "." le domaine est soit "com" soit "net".
- nouvelles
Sujet (composé de différentes parties):
- Dernier
Nouveau
Dernier
Date
Actuel - Net
Réseau
Microsoft
l'Internet - Sécurité
Critique - Améliorer
Pack
Mettre à jour
Pièce
Corps:
MS Client (Consommateur, Partenaire, Utilisateur - choisi au hasard)
c'est la dernière version de la mise à jour de sécurité, la
"Septembre 2003, Cumulative Patch" mise à jour qui résout
toutes les vulnérabilités de sécurité connues affectant
MS Internet Explorer, MS Outlook et MS Outlook Express.
Installez maintenant pour protéger votre ordinateur
de ces vulnérabilités, dont la plus grave pourrait
autoriser un attaquant à exécuter du code sur votre système.
Cette mise à jour inclut la fonctionnalité =
de tous les correctifs précédemment publiés.Configuration requise: Windows 95/98 / Me / 2000 / NT / XP
Cette mise à jour s'applique à:
- MS Internet Explorer, version 4.01 et ultérieure
- MS Outlook, version 8.00 et ultérieure
- MS Outlook Express, version 4.01 et ultérieureRecommandation: Les clients doivent installer le correctif =
à la première occasion.
Comment installer: Exécutez le fichier joint. Choisissez Oui dans la boîte de dialogue affichée.
Comment utiliser: Vous n'avez rien à faire après l'installation de cet élément.
Signature:
Articles sur les services de support technique Microsoft et articles de la base de connaissances =
peut être trouvé sur le site Web du support technique de Microsoft.
http://support.microsoft.com/Pour des informations relatives à la sécurité des produits Microsoft, veuillez =
visitez le site Web Microsoft Security Advisor
http://www.microsoft.com/security/Merci d'utiliser les produits Microsoft.
Merci de ne pas répondre à ce message.
Il a été envoyé à partir d'une adresse e-mail non contrôlée et nous sommes incapables =
répondre à toutes les réponses.----------------------------------------------
Les noms des sociétés et des produits réels mentionnés =
les présentes sont les marques de commerce de leurs propriétaires respectifs.
Nom de pièce jointe:
patch [nombre aléatoire] .exe
installez [nombre aléatoire] .exe
q [nombre aléatoire] .exe
mettre à jour [nombre aléatoire] .exe
Le contenu réel du corps peut être moins compliqué, en fonction de diverses circonstances.
- Le sujet peut contenir:
Lettre
Conseiller
Message
Annonce
rapport
Remarquer
Punaise
Erreur
Avorter
Échoué
Utilisateur inconnu - Le corps peut contenir:
Salut!
C'est le programme qmail
Message de [valeur aléatoire]
Je suis désolé
Je suis désolé d'avoir à informer que
J'ai peur
Je crains de ne pas avoir pu livrer votre message aux adresses suivantes
le message renvoyé ci-dessous n'a pas pu être livré
Je n'étais pas en mesure de livrer votre message
à une ou plusieurs destinations
Dans certains cas, le ver peut envoyer des copies de lui-même sous forme archivée - ZIP ou RAR.
Propagation via Kazaa
Swen se propage via le réseau de partage de fichiers Kazaa en se copiant sous des noms aléatoires dans le répertoire d'échange de fichiers de Kazaa Lite. Il crée également un sous-répertoire dans le dossier Windows Temp avec des noms aléatoires faisant plusieurs copies de lui-même avec des noms aléatoires.
Ce dossier est identifié dans le registre système Windows en tant que contenu local pour le système de partage de fichiers Kazaa.
HKCUSoftwareKazaaLocalContent dir99 = 012345:% Windir %% temp% nom du dossier
Par conséquent, les nouveaux fichiers créés par Swen deviennent disponibles aux autres utilisateurs du réseau Kazaa.
Propagation via les canaux IRC
Le ver scanne le client mIRC installé. S'il est détecté, Swen modifie ensuite le fichier script.ini en ajoutant ses procédures de propagation. Sur ce, le fichier scrip.ini envoie le fichier infecté du répertoire Windows à tous les utilisateurs qui se connectent au canal IRC maintenant infecté.
Propagation via LAN
Le ver scanne tous les lecteurs disponibles. S'il trouve un lecteur réseau, il se copie dans les dossiers suivants sous un nom aléatoire:
windowsall usersstart menuprogramsstartup
windowsstart menuprogramsstartup
winmeall usersstart menuprogramsstartup
winmestart menuprogramsstartup
win95all usersstart menuprogramsstartup
win95start menuprogramsstartup
win98all usersstart menuprogramsstartup
win98start menuprogramsstartup
document et paramètresall usersstart menuprogramsstartup
document et settingsdefault userstart menuprogramsstartup
document et settingsadministratorstart menuprogramsstartup
winntprofilesall usersstart menuprogramsstartup
winntprofilesdefault userstart menuprogramsstartup
winntprofilesadministratorstart menuprogramsstartup
Autre
Le ver tente de bloquer le lancement et le travail de divers logiciels anti-virus et pare-feu:
_avpackwin32anti-trojanaplica32apvxdwinautodownavconsolave32avgcc32avgctrlavgwavkservavntavpavsched32avwin95avwupd32blackdglace noirbootwarnccappccshtdwncfiadmincfiauditcfindcfinetclaw95dv95ecengineefinet32Esafeespwatchf-agnt95findvirufprotf-protfprot95f-prot95fp-winfrwf-stopwmoquerieiamappiamservibmasnibmavspicload95icloadnticmonicmoonicssuppnticsuppJe fais faceIomon98Jedi
kpfw32lockdown2000Attentionluallmauvempftraymsconfignai_vs_statnavapw32navlu32navntnavschednavwnisumnmainnormistenupdatenupgradenvc95avant-postepadminpavclpavéspaverpcciomonpccmainpccwin98pcfwalliconpersfwpop3trappviewravregeditporter secourssafewebserv95sphinxbalayagetcatds2vcleanervcontrolvet32vet95vet98vettrayvscanvsecomrvshwin32vsstatwebtrapwfindv32zaproalarme de zone
En savoir plus
Découvrez les statistiques de la propagation des vulnérabilités dans votre région statistics.securelist.com