CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS. Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.
Solutions pour:
Particuliers
Petites entreprises
Moyennes entreprises
Grandes entreprises
Vulnérabilités Menaces
Accueil Menaces Email-Worm Win32

Email-Worm.Win32.Swen

Classe
Email-Worm
Plateforme
Win32

Classe pour les parents: VirWare

Les virus et les vers sont des programmes malveillants qui s'auto-répliquent sur des ordinateurs ou via des réseaux informatiques sans que l'utilisateur en soit conscient; chaque copie ultérieure de tels programmes malveillants est également capable de s'autoreproduire. Les programmes malveillants qui se propagent via des réseaux ou infectent des machines distantes lorsque le "propriétaire" (par exemple Backdoors) ou les programmes qui créent plusieurs copies qui ne peuvent pas s'auto-répliquer ne font pas partie de la sous-classe Virus and Worms. La caractéristique principale utilisée pour déterminer si un programme est classé comme un comportement distinct dans la sous-classe Virus and Worms est la manière dont le programme se propage (c'est-à-dire comment le programme malveillant répand des copies de lui-même via des ressources locales ou réseau). en tant que fichiers envoyés en pièces jointes, via un lien vers une ressource Web ou FTP, via un lien envoyé dans un message ICQ ou IRC, via des réseaux de partage de fichiers P2P, etc. Certains vers se propagent sous la forme de paquets réseau; ceux-ci pénètrent directement dans la mémoire de l'ordinateur et le code du ver est alors activé. Worms utilise les techniques suivantes pour pénétrer des ordinateurs distants et lancer des copies d'eux-mêmes: ingénierie sociale (par exemple, un message électronique suggérant que l'utilisateur ouvre un fichier joint), exploitation des erreurs de configuration réseau (par exemple copie sur disque entièrement accessible) failles dans la sécurité du système d'exploitation et des applications. Les virus peuvent être divisés en fonction de la méthode utilisée pour infecter un ordinateur: virus de fichiers virus du secteur de démarrage virus de script virus de virus Tous les programmes de cette sous-classe peuvent avoir des fonctions de Troie supplémentaires. Il convient également de noter que de nombreux vers utilisent plus d'une méthode pour diffuser des copies via des réseaux. Les règles de classification des objets détectés avec des fonctions multiples doivent être utilisées pour classer ces types de vers.

Classe: Email-Worm

Email-Worms propagation par e-mail. Le ver envoie une copie de lui-même en pièce jointe à un message électronique ou un lien vers son fichier sur une ressource réseau (par exemple, une URL vers un fichier infecté sur un site Web compromis ou un site Web appartenant à un pirate). Dans le premier cas, le code du ver est activé lorsque la pièce jointe infectée est ouverte (lancée). Dans le second cas, le code est activé lorsque le lien vers le fichier infecté est ouvert. Dans les deux cas, le résultat est le même: le code du ver est activé. Email-Worms utilise une gamme de méthodes pour envoyer des emails infectés. Les plus courantes sont: l'utilisation d'une connexion directe à un serveur SMTP à l'aide du répertoire de messagerie intégré dans le code du ver en utilisant les services MS Outlook à l'aide des fonctions Windows MAPI. Email-Worms utilisent un certain nombre de sources différentes pour trouver les adresses email auxquelles les emails infectés seront envoyés: le carnet d'adresses dans MS Outlook une base de données d'adresses WAB .txt fichiers stockés sur le disque dur: le ver peut identifier les chaînes dans les fichiers texte Les e-mails adressent des e-mails dans la boîte de réception (certains e-mails peuvent même répondre aux e-mails trouvés dans la boîte de réception) De nombreux vers de messagerie utilisent plus d'une des sources répertoriées ci-dessus. Il existe également d'autres sources d'adresses électroniques, telles que les carnets d'adresses associés aux services de messagerie Web.

Plus d'informations

Plateforme: Win32

Win32 est une API sur les systèmes d'exploitation Windows NT (Windows XP, Windows 7, etc.) qui prend en charge l'exécution des applications 32 bits. L'une des plateformes de programmation les plus répandues au monde.

Description

Détails techniques

Swen est un ver-virus très dangereux qui se propage sur Internet via le courrier électronique (sous la forme d'une pièce jointe infectée), le réseau de partage de fichiers Kazaa, les canaux IRC et les ressources réseau ouvertes.

Swen est écrit en Microsoft Visual C ++ et mesure 105 Ko (106496 octets).

Le ver s'active quand une victime lance le fichier infecté (double-cliquant sur la pièce jointe) ou lorsque l'application de messagerie d'une machine victime est vulnérable à la vulnérabilité IFrame.FileDownload (également exploitée par les vers Internet Klez et Tanatos ). Une fois exécuté, Swen s'installe dans le système et commence sa routine de propagation.

Vous pouvez télécharger le correctif publié en mars 2001 pour la vulnérabilité IFrame: Microsoft Security Bulletin MS01-20 .

Le ver bloque de nombreux programmes anti-virus et pare-feu. Son algorithme et des parties du texte de code sont presque identiques à celles d'un autre ver Internet appelé I-Worm.Gibe , bien que le langage de programmation utilisé soit différent.


Installation

Lors du premier lancement, le ver peut afficher la boîte de message "Microsoft Internet Update Pack". Ensuite, il imite l'installation du correctif:

Le ver se copie ensuite sous l'un des noms ci-dessous dans le répertoire Windows. Le nom peut être composé de plusieurs parties.

Première possibilité:

  1. Kazaa Lite
    KaZaA media desktop
    KaZaA
    WinRar
    WinZip
    Winamp
    Mirc
    Télécharger l'accélérateur
    GetRight FTP
    Windows Media Player

  2. Générateur de clé
    Pirater
    Piraté
    Warez
    Télécharger
    Installateur
    Télécharger
    Installateur

Deuxième possibilité:

  1. Épouvantail
    Yaha
    Moquerie
    Sircam
    Tellement gros
    Klez

  2. Dissolvant
    RemovalTool
    Nettoyeur
    Fixtool

Troisième possibilité:

Aol Hacker
Yahoo Hacker
Hotmail Hacker
10.000 publications en série
Jenna Jameson
Hardporn
Sexe
Émulateur Xbox
Émulateur Ps2
Mise à jour Xp
Xxx Vidéo
Blague malade
Photos Xxx
Ma soeur nue
Écran de veille hallucinogène
Cuisiner avec du cannabis
Champignons magiques en pleine croissance
Générateur de virus

Le nouveau fichier est enregistré dans la clé d'exécution automatique du Registre système Windows: 

 HKLMSoftwareMicrosoftWindowsCurrentVersionRun  séquence aléatoire =% windir% nom de fichier autorun

Une clé d'identification est créée, qui contient les paramètres de configuration des vers: 

 HKLMSoftwareMicrosoftWindowsCurrentVersionExplorer  séquence aléatoire

Le ver crée ensuite un fichier nommé d'après la machine hôte infectée avec une extension BAT dans le dossier Windows. Le fichier contient les commandes suivantes:

@ÉCHO OFF
SI PAS "% 1" == "" .exe% 1

Ensuite, le ver modifie les valeurs de clé dans HKLMSoftwareClasses de manière à s'accrocher à l'exécution chaque fois que les types de fichiers BAT, COM, EXE, PIF, REG et SCR sont lancés. 

 HKCRbatfileshellopencommand  Par défaut =% windir%  "%1" %*HKCRcomfileshellopencommand  Par défaut =% windir%  "%1" %*   HKEY_CLASSES_ROOTexefileshellopencommand  Par défaut =% windir%  "%1" %*HKCRpiffileshellopencommand  Par défaut =% windir%  "%1" %*HKCRregfileshellopencommand  Par défaut =% windir%  showerrorHKCRscrfileshellconfigcommand  Par défaut =% windir%  "%1"  HKCRscrfileshellopencommand  Par défaut =% windir%  "% 1" / S

Désactive la capacité de l'utilisateur à modifier le registre du système: 

 HKCU.DEFAULTSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem  DisableRegistryTools = 01 00 00 00

Au premier lancement, le ver accède au site Web distant suivant:

http://ww2.fce.vutbr.cz/bin/counter.gif/link=bacillus&width=6&set=cnt006

Ce compteur indique le nombre d'ordinateurs infectés.

Lors de la tentative d'exécution d'une nouvelle copie du ver sur la machine déjà infectée, le ver affiche le message suivant:

Le ver scanne tous les disques pour les fichiers avec des extensions DBX, MDX, EML, WAB et qui contiennent aussi HT ou ASP dans l'extension. Swem extrait ensuite toutes les adresses e-mail qu'il peut trouver et les enregistre dans un fichier nommé germs0.dbv .

Le ver tente de se connecter à l'un des 350 serveurs identifiés dans le fichier swen1.dat , afin d'envoyer des emails infectés. Si la connexion est impossible, le ver affiche ensuite le message d'erreur suivant à propos d'une exception MAPI 32:

et demande une adresse e-mail correcte, ainsi qu'un serveur SMTP correct.


Propagation par email

Le ver s'envoie lui-même à toutes les adresses disponibles en utilisant une connexion directe à un serveur SMTP. Les e-mails infectés sont au format HTML et contiennent une pièce jointe (le ver réel).

Nom de l'expéditeur (composé de plusieurs parties):

  1. Microsoft
    MME

  2. (ne peut pas être utilisé)
    société

  3. (ne peut pas être utilisé)
    Programme
    l'Internet
    Réseau

  4. (toujours inclus avec la partie 3)
    Sécurité

  5. (ne peut pas être utilisé)
    Division
    Section
    département
    Centre

  6. (ne peut pas être utilisé)
    Publique
    Technique
    Client

  7. (ne peut pas être utilisé)
    Bulletin
    Prestations de service
    Assistance
    Soutien

Par exemple:

Section Microsoft Internet Security
Assistance technique MS

Adresse de l'expéditeur (composée de 2 parties):

  • avant "@": séquence aléatoire (exemple: tuevprkpevcg-gxwi @, dwffa @);
  • après "@": se compose de 2 parties (bien qu'une seule puisse être utilisée):

    1. nouvelles
      bulletin
      bulletin
      confiance
      conseiller
      mises à jour
      technet
      soutien

    2. msdn
      Microsoft
      Mme
      msn

    Par exemple: "newsletter.microsoft" ou simplement "support". Si deux parties sont utilisées, elles sont séparées par "." Ou "_".

    Après le "." le domaine est soit "com" soit "net".

Sujet (composé de différentes parties):

  1. Dernier
    Nouveau
    Dernier
    Date
    Actuel

  2. Net
    Réseau
    Microsoft
    l'Internet

  3. Sécurité
    Critique

  4. Améliorer
    Pack
    Mettre à jour
    Pièce

Corps:

MS Client (Consommateur, Partenaire, Utilisateur - choisi au hasard)
c'est la dernière version de la mise à jour de sécurité, la
"Septembre 2003, Cumulative Patch" mise à jour qui résout
toutes les vulnérabilités de sécurité connues affectant
MS Internet Explorer, MS Outlook et MS Outlook Express.
Installez maintenant pour protéger votre ordinateur
de ces vulnérabilités, dont la plus grave pourrait
autoriser un attaquant à exécuter du code sur votre système.
Cette mise à jour inclut la fonctionnalité =
de tous les correctifs précédemment publiés.

Configuration requise: Windows 95/98 / Me / 2000 / NT / XP
Cette mise à jour s'applique à:
- MS Internet Explorer, version 4.01 et ultérieure
- MS Outlook, version 8.00 et ultérieure
- MS Outlook Express, version 4.01 et ultérieure

Recommandation: Les clients doivent installer le correctif =
à la première occasion.
Comment installer: Exécutez le fichier joint. Choisissez Oui dans la boîte de dialogue affichée.
Comment utiliser: Vous n'avez rien à faire après l'installation de cet élément.

Signature:

Articles sur les services de support technique Microsoft et articles de la base de connaissances =
peut être trouvé sur le site Web du support technique de Microsoft.
http://support.microsoft.com/

Pour des informations relatives à la sécurité des produits Microsoft, veuillez =
visitez le site Web Microsoft Security Advisor
http://www.microsoft.com/security/

Merci d'utiliser les produits Microsoft.

Merci de ne pas répondre à ce message.
Il a été envoyé à partir d'une adresse e-mail non contrôlée et nous sommes incapables =
répondre à toutes les réponses.

----------------------------------------------
Les noms des sociétés et des produits réels mentionnés =
les présentes sont les marques de commerce de leurs propriétaires respectifs.

Nom de pièce jointe:

patch [nombre aléatoire] .exe
installez [nombre aléatoire] .exe
q [nombre aléatoire] .exe
mettre à jour [nombre aléatoire] .exe

Le contenu réel du corps peut être moins compliqué, en fonction de diverses circonstances.

  • Le sujet peut contenir:

    Lettre
    Conseiller
    Message
    Annonce
    rapport
    Remarquer
    Punaise
    Erreur
    Avorter
    Échoué
    Utilisateur inconnu

  • Le corps peut contenir:

    Salut!
    C'est le programme qmail
    Message de [valeur aléatoire]
    Je suis désolé
    Je suis désolé d'avoir à informer que
    J'ai peur
    Je crains de ne pas avoir pu livrer votre message aux adresses suivantes
    le message renvoyé ci-dessous n'a pas pu être livré
    Je n'étais pas en mesure de livrer votre message
    à une ou plusieurs destinations

Dans certains cas, le ver peut envoyer des copies de lui-même sous forme archivée - ZIP ou RAR.


Propagation via Kazaa

Swen se propage via le réseau de partage de fichiers Kazaa en se copiant sous des noms aléatoires dans le répertoire d'échange de fichiers de Kazaa Lite. Il crée également un sous-répertoire dans le dossier Windows Temp avec des noms aléatoires faisant plusieurs copies de lui-même avec des noms aléatoires.

Ce dossier est identifié dans le registre système Windows en tant que contenu local pour le système de partage de fichiers Kazaa. 

 HKCUSoftwareKazaaLocalContent dir99 = 012345:% Windir %% temp% nom du dossier

Par conséquent, les nouveaux fichiers créés par Swen deviennent disponibles aux autres utilisateurs du réseau Kazaa.


Propagation via les canaux IRC

Le ver scanne le client mIRC installé. S'il est détecté, Swen modifie ensuite le fichier script.ini en ajoutant ses procédures de propagation. Sur ce, le fichier scrip.ini envoie le fichier infecté du répertoire Windows à tous les utilisateurs qui se connectent au canal IRC maintenant infecté.


Propagation via LAN

Le ver scanne tous les lecteurs disponibles. S'il trouve un lecteur réseau, il se copie dans les dossiers suivants sous un nom aléatoire:

windowsall usersstart menuprogramsstartup
windowsstart menuprogramsstartup
winmeall usersstart menuprogramsstartup
winmestart menuprogramsstartup
win95all usersstart menuprogramsstartup
win95start menuprogramsstartup
win98all usersstart menuprogramsstartup
win98start menuprogramsstartup
document et paramètresall usersstart menuprogramsstartup
document et settingsdefault userstart menuprogramsstartup
document et settingsadministratorstart menuprogramsstartup
winntprofilesall usersstart menuprogramsstartup
winntprofilesdefault userstart menuprogramsstartup
winntprofilesadministratorstart menuprogramsstartup


Autre

Le ver tente de bloquer le lancement et le travail de divers logiciels anti-virus et pare-feu: 

 _avpackwin32anti-trojanaplica32apvxdwinautodownavconsolave32avgcc32avgctrlavgwavkservavntavpavsched32avwin95avwupd32blackdglace noirbootwarnccappccshtdwncfiadmincfiauditcfindcfinetclaw95dv95ecengineefinet32Esafeespwatchf-agnt95findvirufprotf-protfprot95f-prot95fp-winfrwf-stopwmoquerieiamappiamservibmasnibmavspicload95icloadnticmonicmoonicssuppnticsuppJe fais faceIomon98Jedi 
 kpfw32lockdown2000Attentionluallmauvempftraymsconfignai_vs_statnavapw32navlu32navntnavschednavwnisumnmainnormistenupdatenupgradenvc95avant-postepadminpavclpavéspaverpcciomonpccmainpccwin98pcfwalliconpersfwpop3trappviewravregeditporter secourssafewebserv95sphinxbalayagetcatds2vcleanervcontrolvet32vet95vet98vettrayvscanvsecomrvshwin32vsstatwebtrapwfindv32zaproalarme de zone
Quand ceux-ci sont lancés, Swen affiche le faux message d'erreur suivant:



En savoir plus

Découvrez les statistiques de la propagation des vulnérabilités dans votre région statistics.securelist.com

Vous avez trouvé une inexactitude dans la description de cette vulnérabilité ? Faites-le nous savoir !
Kaspersky!
Votre vie en ligne mérite une protection complète!
Apprendre encore plus
Kaspersky IT Security Calculator:
Calculez le profil de sécurité de votre entreprise
Apprendre encore plus
Related articles
18 April 2024
Securelist
DuneQuixote campaign targets Middle Eastern entities with “CR4T” malware
17 April 2024
Securelist
SoumniBot: the new Android banker’s unique techniques
15 April 2024
Securelist
Using the LockBit builder to generate targeted ransomware
12 April 2024
Securelist
XZ backdoor story – Initial analysis
28 March 2024
Securelist
DinodasRAT Linux implant targeting entities worldwide
20 March 2024
Securelist
Android malware, Android malware and more Android malware
Vous avez trouvé une inexactitude dans la description de cette vulnérabilité ?
Si vous avez découvert une nouvelle menace ou vulnérabilité, veuillez nous en informer par e-mail :
newvirus@kaspersky.com
Vous avez découvert une nouvelle menace ou vulnérabilité ?
Si vous avez découvert une nouvelle menace ou vulnérabilité, veuillez nous en informer par e-mail :
newvirus@kaspersky.com
Solutions pour
Particuliers
Petites entreprises
Moyennes entreprises
Grandes entreprises
Select language
Sorting
Menace
Confirm changes?
Your message has been sent successfully.