CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.
Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.
Classe | Email-Worm | ||
Plateforme | Win32 | ||
Description |
Détails techniquesSwen est un ver-virus très dangereux qui se propage sur Internet via le courrier électronique (sous la forme d'une pièce jointe infectée), le réseau de partage de fichiers Kazaa, les canaux IRC et les ressources réseau ouvertes. Swen est écrit en Microsoft Visual C ++ et mesure 105 Ko (106496 octets). Le ver s'active quand une victime lance le fichier infecté (double-cliquant sur la pièce jointe) ou lorsque l'application de messagerie d'une machine victime est vulnérable à la vulnérabilité IFrame.FileDownload (également exploitée par les vers Internet Klez et Tanatos ). Une fois exécuté, Swen s'installe dans le système et commence sa routine de propagation. Vous pouvez télécharger le correctif publié en mars 2001 pour la vulnérabilité IFrame: Microsoft Security Bulletin MS01-20 . Le ver bloque de nombreux programmes anti-virus et pare-feu. Son algorithme et des parties du texte de code sont presque identiques à celles d'un autre ver Internet appelé I-Worm.Gibe , bien que le langage de programmation utilisé soit différent. Installation Lors du premier lancement, le ver peut afficher la boîte de message "Microsoft Internet Update Pack". Ensuite, il imite l'installation du correctif: ![]() ![]() ![]() Le ver se copie ensuite sous l'un des noms ci-dessous dans le répertoire Windows. Le nom peut être composé de plusieurs parties. Première possibilité:
Deuxième possibilité:
Troisième possibilité:
Le nouveau fichier est enregistré dans la clé d'exécution automatique du Registre système Windows: HKLMSoftwareMicrosoftWindowsCurrentVersionRun séquence aléatoire =% windir% nom de fichier autorun Une clé d'identification est créée, qui contient les paramètres de configuration des vers: HKLMSoftwareMicrosoftWindowsCurrentVersionExplorer séquence aléatoire Le ver crée ensuite un fichier nommé d'après la machine hôte infectée avec une extension BAT dans le dossier Windows. Le fichier contient les commandes suivantes:
Ensuite, le ver modifie les valeurs de clé dans HKLMSoftwareClasses de manière à s'accrocher à l'exécution chaque fois que les types de fichiers BAT, COM, EXE, PIF, REG et SCR sont lancés. HKCRbatfileshellopencommand Par défaut =% windir% Désactive la capacité de l'utilisateur à modifier le registre du système: HKCU.DEFAULTSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem DisableRegistryTools = 01 00 00 00 Au premier lancement, le ver accède au site Web distant suivant:
Ce compteur indique le nombre d'ordinateurs infectés. Lors de la tentative d'exécution d'une nouvelle copie du ver sur la machine déjà infectée, le ver affiche le message suivant: ![]() Le ver scanne tous les disques pour les fichiers avec des extensions DBX, MDX, EML, WAB et qui contiennent aussi HT ou ASP dans l'extension. Swem extrait ensuite toutes les adresses e-mail qu'il peut trouver et les enregistre dans un fichier nommé germs0.dbv . Le ver tente de se connecter à l'un des 350 serveurs identifiés dans le fichier swen1.dat , afin d'envoyer des emails infectés. Si la connexion est impossible, le ver affiche ensuite le message d'erreur suivant à propos d'une exception MAPI 32: ![]() et demande une adresse e-mail correcte, ainsi qu'un serveur SMTP correct. Propagation par email Le ver s'envoie lui-même à toutes les adresses disponibles en utilisant une connexion directe à un serveur SMTP. Les e-mails infectés sont au format HTML et contiennent une pièce jointe (le ver réel). ![]() Nom de l'expéditeur (composé de plusieurs parties):
Par exemple:
Adresse de l'expéditeur (composée de 2 parties):
Sujet (composé de différentes parties):
Corps:
Signature:
Nom de pièce jointe:
Le contenu réel du corps peut être moins compliqué, en fonction de diverses circonstances.
Dans certains cas, le ver peut envoyer des copies de lui-même sous forme archivée – ZIP ou RAR. Propagation via Kazaa Swen se propage via le réseau de partage de fichiers Kazaa en se copiant sous des noms aléatoires dans le répertoire d'échange de fichiers de Kazaa Lite. Il crée également un sous-répertoire dans le dossier Windows Temp avec des noms aléatoires faisant plusieurs copies de lui-même avec des noms aléatoires. Ce dossier est identifié dans le registre système Windows en tant que contenu local pour le système de partage de fichiers Kazaa. HKCUSoftwareKazaaLocalContent dir99 = 012345:% Windir %% temp% nom du dossier Par conséquent, les nouveaux fichiers créés par Swen deviennent disponibles aux autres utilisateurs du réseau Kazaa. Propagation via les canaux IRC Le ver scanne le client mIRC installé. S'il est détecté, Swen modifie ensuite le fichier script.ini en ajoutant ses procédures de propagation. Sur ce, le fichier scrip.ini envoie le fichier infecté du répertoire Windows à tous les utilisateurs qui se connectent au canal IRC maintenant infecté. Propagation via LAN Le ver scanne tous les lecteurs disponibles. S'il trouve un lecteur réseau, il se copie dans les dossiers suivants sous un nom aléatoire:
Autre Le ver tente de bloquer le lancement et le travail de divers logiciels anti-virus et pare-feu:
Quand ceux-ci sont lancés, Swen affiche le faux message d'erreur suivant: ![]() |
||
Lien vers l'original |
|||
Découvrez les statistiques de la propagation des menaces dans votre région |