CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

Email-Worm.Win32.Swen

Classe Email-Worm
Plateforme Win32
Description

Détails techniques

Swen est un ver-virus très dangereux qui se propage sur Internet via le courrier électronique (sous la forme d'une pièce jointe infectée), le réseau de partage de fichiers Kazaa, les canaux IRC et les ressources réseau ouvertes.

Swen est écrit en Microsoft Visual C ++ et mesure 105 Ko (106496 octets).

Le ver s'active quand une victime lance le fichier infecté (double-cliquant sur la pièce jointe) ou lorsque l'application de messagerie d'une machine victime est vulnérable à la vulnérabilité IFrame.FileDownload (également exploitée par les vers Internet Klez et Tanatos ). Une fois exécuté, Swen s'installe dans le système et commence sa routine de propagation.

Vous pouvez télécharger le correctif publié en mars 2001 pour la vulnérabilité IFrame: Microsoft Security Bulletin MS01-20 .

Le ver bloque de nombreux programmes anti-virus et pare-feu. Son algorithme et des parties du texte de code sont presque identiques à celles d'un autre ver Internet appelé I-Worm.Gibe , bien que le langage de programmation utilisé soit différent.

Installation

Lors du premier lancement, le ver peut afficher la boîte de message "Microsoft Internet Update Pack". Ensuite, il imite l'installation du correctif:

Le ver se copie ensuite sous l'un des noms ci-dessous dans le répertoire Windows. Le nom peut être composé de plusieurs parties.

Première possibilité:

  1. Kazaa Lite
    KaZaA media desktop
    KaZaA
    WinRar
    WinZip
    Winamp
    Mirc
    Télécharger l'accélérateur
    GetRight FTP
    Windows Media Player
  2. Générateur de clé
    Pirater
    Piraté
    Warez
    Télécharger
    Installateur
    Télécharger
    Installateur

Deuxième possibilité:

  1. Épouvantail
    Yaha
    Moquerie
    Sircam
    Tellement gros
    Klez
  2. Dissolvant
    RemovalTool
    Nettoyeur
    Fixtool

Troisième possibilité:

Aol Hacker
Yahoo Hacker
Hotmail Hacker
10.000 publications en série
Jenna Jameson
Hardporn
Sexe
Émulateur Xbox
Émulateur Ps2
Mise à jour Xp
Xxx Vidéo
Blague malade
Photos Xxx
Ma soeur nue
Écran de veille hallucinogène
Cuisiner avec du cannabis
Champignons magiques en pleine croissance
Générateur de virus

Le nouveau fichier est enregistré dans la clé d'exécution automatique du Registre système Windows:

 HKLMSoftwareMicrosoftWindowsCurrentVersionRun
  séquence aléatoire =% windir% nom de fichier autorun 

Une clé d'identification est créée, qui contient les paramètres de configuration des vers:

 HKLMSoftwareMicrosoftWindowsCurrentVersionExplorer
  séquence aléatoire 

Le ver crée ensuite un fichier nommé d'après la machine hôte infectée avec une extension BAT dans le dossier Windows. Le fichier contient les commandes suivantes:

@ÉCHO OFF
SI PAS "% 1" == "" .exe% 1

Ensuite, le ver modifie les valeurs de clé dans HKLMSoftwareClasses de manière à s'accrocher à l'exécution chaque fois que les types de fichiers BAT, COM, EXE, PIF, REG et SCR sont lancés.

 HKCRbatfileshellopencommand
  Par défaut =% windir%  "%1" %*

HKCRcomfileshellopencommand
  Par défaut =% windir%  "%1" %*
   
HKEY_CLASSES_ROOTexefileshellopencommand
  Par défaut =% windir%  "%1" %*

HKCRpiffileshellopencommand
  Par défaut =% windir%  "%1" %*

HKCRregfileshellopencommand
  Par défaut =% windir%  showerror

HKCRscrfileshellconfigcommand
  Par défaut =% windir%  "%1"
  
HKCRscrfileshellopencommand
  Par défaut =% windir%  "% 1" / S 

Désactive la capacité de l'utilisateur à modifier le registre du système:

 HKCU.DEFAULTSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem
  DisableRegistryTools = 01 00 00 00 

Au premier lancement, le ver accède au site Web distant suivant:

http://ww2.fce.vutbr.cz/bin/counter.gif/link=bacillus&width=6&set=cnt006

Ce compteur indique le nombre d'ordinateurs infectés.

Lors de la tentative d'exécution d'une nouvelle copie du ver sur la machine déjà infectée, le ver affiche le message suivant:

Le ver scanne tous les disques pour les fichiers avec des extensions DBX, MDX, EML, WAB et qui contiennent aussi HT ou ASP dans l'extension. Swem extrait ensuite toutes les adresses e-mail qu'il peut trouver et les enregistre dans un fichier nommé germs0.dbv .

Le ver tente de se connecter à l'un des 350 serveurs identifiés dans le fichier swen1.dat , afin d'envoyer des emails infectés. Si la connexion est impossible, le ver affiche ensuite le message d'erreur suivant à propos d'une exception MAPI 32:

et demande une adresse e-mail correcte, ainsi qu'un serveur SMTP correct.

Propagation par email

Le ver s'envoie lui-même à toutes les adresses disponibles en utilisant une connexion directe à un serveur SMTP. Les e-mails infectés sont au format HTML et contiennent une pièce jointe (le ver réel).

Nom de l'expéditeur (composé de plusieurs parties):

  1. Microsoft
    MME
  2. (ne peut pas être utilisé)
    société
  3. (ne peut pas être utilisé)
    Programme
    l'Internet
    Réseau
  4. (toujours inclus avec la partie 3)
    Sécurité
  5. (ne peut pas être utilisé)
    Division
    Section
    département
    Centre
  6. (ne peut pas être utilisé)
    Publique
    Technique
    Client
  7. (ne peut pas être utilisé)
    Bulletin
    Prestations de service
    Assistance
    Soutien

Par exemple:

Section Microsoft Internet Security
Assistance technique MS

Adresse de l'expéditeur (composée de 2 parties):

  • avant "@": séquence aléatoire (exemple: tuevprkpevcg-gxwi @, dwffa @);
  • après "@": se compose de 2 parties (bien qu'une seule puisse être utilisée):
    1. nouvelles
      bulletin
      bulletin
      confiance
      conseiller
      mises à jour
      technet
      soutien
    2. msdn
      Microsoft
      Mme
      msn

    Par exemple: "newsletter.microsoft" ou simplement "support". Si deux parties sont utilisées, elles sont séparées par "." Ou "_".

    Après le "." le domaine est soit "com" soit "net".

Sujet (composé de différentes parties):

  1. Dernier
    Nouveau
    Dernier
    Date
    Actuel
  2. Net
    Réseau
    Microsoft
    l'Internet
  3. Sécurité
    Critique
  4. Améliorer
    Pack
    Mettre à jour
    Pièce

Corps:

MS Client (Consommateur, Partenaire, Utilisateur – choisi au hasard)
c'est la dernière version de la mise à jour de sécurité, la
"Septembre 2003, Cumulative Patch" mise à jour qui résout
toutes les vulnérabilités de sécurité connues affectant
MS Internet Explorer, MS Outlook et MS Outlook Express.
Installez maintenant pour protéger votre ordinateur
de ces vulnérabilités, dont la plus grave pourrait
autoriser un attaquant à exécuter du code sur votre système.
Cette mise à jour inclut la fonctionnalité =
de tous les correctifs précédemment publiés.

Configuration requise: Windows 95/98 / Me / 2000 / NT / XP
Cette mise à jour s'applique à:
– MS Internet Explorer, version 4.01 et ultérieure
– MS Outlook, version 8.00 et ultérieure
– MS Outlook Express, version 4.01 et ultérieure

Recommandation: Les clients doivent installer le correctif =
à la première occasion.
Comment installer: Exécutez le fichier joint. Choisissez Oui dans la boîte de dialogue affichée.
Comment utiliser: Vous n'avez rien à faire après l'installation de cet élément.

Signature:

Articles sur les services de support technique Microsoft et articles de la base de connaissances =
peut être trouvé sur le site Web du support technique de Microsoft.
http://support.microsoft.com/

Pour des informations relatives à la sécurité des produits Microsoft, veuillez =
visitez le site Web Microsoft Security Advisor
http://www.microsoft.com/security/

Merci d'utiliser les produits Microsoft.

Merci de ne pas répondre à ce message.
Il a été envoyé à partir d'une adresse e-mail non contrôlée et nous sommes incapables =
répondre à toutes les réponses.

———————————————-
Les noms des sociétés et des produits réels mentionnés =
les présentes sont les marques de commerce de leurs propriétaires respectifs.

Nom de pièce jointe:

patch [nombre aléatoire] .exe
installez [nombre aléatoire] .exe
q [nombre aléatoire] .exe
mettre à jour [nombre aléatoire] .exe

Le contenu réel du corps peut être moins compliqué, en fonction de diverses circonstances.

  • Le sujet peut contenir:

    Lettre
    Conseiller
    Message
    Annonce
    rapport
    Remarquer
    Punaise
    Erreur
    Avorter
    Échoué
    Utilisateur inconnu

  • Le corps peut contenir:

    Salut!
    C'est le programme qmail
    Message de [valeur aléatoire]
    Je suis désolé
    Je suis désolé d'avoir à informer que
    J'ai peur
    Je crains de ne pas avoir pu livrer votre message aux adresses suivantes
    le message renvoyé ci-dessous n'a pas pu être livré
    Je n'étais pas en mesure de livrer votre message
    à une ou plusieurs destinations

Dans certains cas, le ver peut envoyer des copies de lui-même sous forme archivée – ZIP ou RAR.

Propagation via Kazaa

Swen se propage via le réseau de partage de fichiers Kazaa en se copiant sous des noms aléatoires dans le répertoire d'échange de fichiers de Kazaa Lite. Il crée également un sous-répertoire dans le dossier Windows Temp avec des noms aléatoires faisant plusieurs copies de lui-même avec des noms aléatoires.

Ce dossier est identifié dans le registre système Windows en tant que contenu local pour le système de partage de fichiers Kazaa.

 HKCUSoftwareKazaaLocalContent
 dir99 = 012345:% Windir %% temp% nom du dossier 

Par conséquent, les nouveaux fichiers créés par Swen deviennent disponibles aux autres utilisateurs du réseau Kazaa.

Propagation via les canaux IRC

Le ver scanne le client mIRC installé. S'il est détecté, Swen modifie ensuite le fichier script.ini en ajoutant ses procédures de propagation. Sur ce, le fichier scrip.ini envoie le fichier infecté du répertoire Windows à tous les utilisateurs qui se connectent au canal IRC maintenant infecté.

Propagation via LAN

Le ver scanne tous les lecteurs disponibles. S'il trouve un lecteur réseau, il se copie dans les dossiers suivants sous un nom aléatoire:

windowsall usersstart menuprogramsstartup
windowsstart menuprogramsstartup
winmeall usersstart menuprogramsstartup
winmestart menuprogramsstartup
win95all usersstart menuprogramsstartup
win95start menuprogramsstartup
win98all usersstart menuprogramsstartup
win98start menuprogramsstartup
document et paramètresall usersstart menuprogramsstartup
document et settingsdefault userstart menuprogramsstartup
document et settingsadministratorstart menuprogramsstartup
winntprofilesall usersstart menuprogramsstartup
winntprofilesdefault userstart menuprogramsstartup
winntprofilesadministratorstart menuprogramsstartup

Autre

Le ver tente de bloquer le lancement et le travail de divers logiciels anti-virus et pare-feu:

 _avp
ackwin32
anti-trojan
aplica32
apvxdwin
autodown
avconsol
ave32
avgcc32
avgctrl
avgw
avkserv
avnt
avp
avsched32
avwin95
avwupd32
blackd
glace noir
bootwarn
ccapp
ccshtdwn
cfiadmin
cfiaudit
cfind
cfinet
claw95
dv95
ecengine
efinet32
Esafe
espwatch
f-agnt95
findviru
fprot
f-prot
fprot95
f-prot95
fp-win
frw
f-stopw
moquerie
iamapp
iamserv
ibmasn
ibmavsp
icload95
icloadnt
icmon
icmoon
icssuppnt
icsupp
Je fais face
Iomon98
Jedi 
 kpfw32
lockdown2000
Attention
luall
mauve
mpftray
msconfig
nai_vs_stat
navapw32
navlu32
navnt
navsched
navw
nisum
nmain
normiste
nupdate
nupgrade
nvc95
avant-poste
padmin
pavcl
pavés
paver
pcciomon
pccmain
pccwin98
pcfwallicon
persfw
pop3trap
pview
rav
regedit
porter secours
safeweb
serv95
sphinx
balayage
tca
tds2
vcleaner
vcontrol
vet32
vet95
vet98
vettray
vscan
vsecomr
vshwin32
vsstat
webtrap
wfindv32
zapro
alarme de zone 

Quand ceux-ci sont lancés, Swen affiche le faux message d'erreur suivant:


Lien vers l'original