CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS. Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.
Solutions pour:
Particuliers
Petites entreprises
Moyennes entreprises
Grandes entreprises
Vulnérabilités Menaces
Accueil Menaces Email-Worm Win32

Email-Worm.Win32.SysClock

Classe
Email-Worm
Plateforme
Win32

Classe pour les parents: VirWare

Les virus et les vers sont des programmes malveillants qui s'auto-répliquent sur des ordinateurs ou via des réseaux informatiques sans que l'utilisateur en soit conscient; chaque copie ultérieure de tels programmes malveillants est également capable de s'autoreproduire. Les programmes malveillants qui se propagent via des réseaux ou infectent des machines distantes lorsque le "propriétaire" (par exemple Backdoors) ou les programmes qui créent plusieurs copies qui ne peuvent pas s'auto-répliquer ne font pas partie de la sous-classe Virus and Worms. La caractéristique principale utilisée pour déterminer si un programme est classé comme un comportement distinct dans la sous-classe Virus and Worms est la manière dont le programme se propage (c'est-à-dire comment le programme malveillant répand des copies de lui-même via des ressources locales ou réseau). en tant que fichiers envoyés en pièces jointes, via un lien vers une ressource Web ou FTP, via un lien envoyé dans un message ICQ ou IRC, via des réseaux de partage de fichiers P2P, etc. Certains vers se propagent sous la forme de paquets réseau; ceux-ci pénètrent directement dans la mémoire de l'ordinateur et le code du ver est alors activé. Worms utilise les techniques suivantes pour pénétrer des ordinateurs distants et lancer des copies d'eux-mêmes: ingénierie sociale (par exemple, un message électronique suggérant que l'utilisateur ouvre un fichier joint), exploitation des erreurs de configuration réseau (par exemple copie sur disque entièrement accessible) failles dans la sécurité du système d'exploitation et des applications. Les virus peuvent être divisés en fonction de la méthode utilisée pour infecter un ordinateur: virus de fichiers virus du secteur de démarrage virus de script virus de virus Tous les programmes de cette sous-classe peuvent avoir des fonctions de Troie supplémentaires. Il convient également de noter que de nombreux vers utilisent plus d'une méthode pour diffuser des copies via des réseaux. Les règles de classification des objets détectés avec des fonctions multiples doivent être utilisées pour classer ces types de vers.

Classe: Email-Worm

Email-Worms propagation par e-mail. Le ver envoie une copie de lui-même en pièce jointe à un message électronique ou un lien vers son fichier sur une ressource réseau (par exemple, une URL vers un fichier infecté sur un site Web compromis ou un site Web appartenant à un pirate). Dans le premier cas, le code du ver est activé lorsque la pièce jointe infectée est ouverte (lancée). Dans le second cas, le code est activé lorsque le lien vers le fichier infecté est ouvert. Dans les deux cas, le résultat est le même: le code du ver est activé. Email-Worms utilise une gamme de méthodes pour envoyer des emails infectés. Les plus courantes sont: l'utilisation d'une connexion directe à un serveur SMTP à l'aide du répertoire de messagerie intégré dans le code du ver en utilisant les services MS Outlook à l'aide des fonctions Windows MAPI. Email-Worms utilisent un certain nombre de sources différentes pour trouver les adresses email auxquelles les emails infectés seront envoyés: le carnet d'adresses dans MS Outlook une base de données d'adresses WAB .txt fichiers stockés sur le disque dur: le ver peut identifier les chaînes dans les fichiers texte Les e-mails adressent des e-mails dans la boîte de réception (certains e-mails peuvent même répondre aux e-mails trouvés dans la boîte de réception) De nombreux vers de messagerie utilisent plus d'une des sources répertoriées ci-dessus. Il existe également d'autres sources d'adresses électroniques, telles que les carnets d'adresses associés aux services de messagerie Web.

Plus d'informations

Plateforme: Win32

Win32 est une API sur les systèmes d'exploitation Windows NT (Windows XP, Windows 7, etc.) qui prend en charge l'exécution des applications 32 bits. L'une des plateformes de programmation les plus répandues au monde.

Description

Détails techniques

Il s'agit d'un ver Internet (virus de type ver) qui se propage via des e-mails, des canaux IRC, infectant des fichiers sur des ordinateurs locaux et se propageant sur un réseau local. Il vole également les mots de passe système (fichiers PWL) des ordinateurs infectés, ainsi que de nombreuses routines de charge utile inoffensives et dangereuses. Le ver lui-même est d'environ 80Ko en taille Win32 (PE EXE - Portable Executable) programme écrit en Delphi, le code "pur" du ver occupe environ 20Kb et le reste est le code de la bibliothèque d'exécution Delphi, les données et les informations diverses du programme.

Le ver arrive comme un e-mail avec un faux message (voir ci-dessous) et un fichier PKZIP.EXE attaché qui est le programme du ver lui-même. Lorsque le ver est exécuté, il s'installe dans le système, infecte les fichiers sur un lecteur local, infecte les lecteurs logiques disponibles, infecte le client mIRC installé et envoie des e-mails infectés en utilisant le système de messagerie Eudora.

Installation dans le système

Pour s'installer dans le système, le ver se copie avec le nom KERNEL.EXE dans le répertoire Windows (sur les machines Win95 / 98) ou dans le répertoire système Windows (sous WinNT) et s'enregistre lui-même dans la clé auto-run du registre système : 

SOFTWAREMicrosoftWindowsCurrentVersionRun SysClock = kernel.exe

Le ver dispose également d'une routine d'installation supplémentaire qui installe les copies de ver sur tous les lecteurs disponibles. Cette routine est décrite ci-dessous.

Infecter un ordinateur

Le ver est capable d'infecter environ 40 fichiers sur un ordinateur et n'infecte pas plus de quatre fichiers à chaque exécution. Le ver infecte les fichiers dans le répertoire Windows: 

NOTEPAD.EXE, CALC.EXE, DEFRAG.EXE, SCANDSKW.EXE, WRITE.EXE, WINIPCFG.EXE,SCANREGW.EXE, DRWTSN32.EXE, NTBACKUP.EXE, REGEDT32.EXE, TASKMGR.EXE,USRMGR.EXE

Le ver infecte alors les programmes associés aux clés de registre: 

SOFTWAREClassesAccess.Application.8 shellopencommandSOFTWAREClassesAudioCD shellplaycommandSOFTWAREClassesAVIFile shellplaycommandSOFTWAREClassescdafile shellplaycommandSOFTWAREClassesChat shellopencommandSOFTWAREClientsNewsForte Agent shellopencommandSOFTWAREClassesExcel.Sheet.8 shellopencommandSOFTWAREClassesftp shellopencommandSOFTWAREClassesgiffile shellopencommandSOFTWAREClasseshlpfile shellopencommandSOFTWAREClassesEudora DefaultIconSOFTWAREClassesEudora shellopencommandSOFTWAREClassesMicrosoft Internet Mail Message shellopencommandSOFTWAREClassesMicrosoft Internet News Message shellopencommandSOFTWAREClassesMOVFile shellopencommandSOFTWAREClassesMsi.Package shellopencommandSOFTWAREClassespcANYWHERE32 shellopencommandSOFTWAREClassesQuickView shellopencommandSOFTWAREClassesRealPlayer.RAM.6 shellopencommandSOFTWAREClassesWinamp.File shellopencommandSOFTWAREClassesUnfinished Télécharger shellopencommandSOFTWAREClassesUltraEdit-32 Document shellopencommandSOFTWAREClassesWhiteboard shellopencommandSOFTWAREClassesvcard_wab_auto_file shellopencommandLOGICIELUlead SystemsUlead PhotoImpact4.0PathIeEdit.exeLOGICIELKasperskyLabComponents102EXEName

Lors de l'infection de chaque fichier, le ver utilise la méthode d'infection compagnon: il renomme un fichier victime avec un nom aléatoire de huit octets et une extension .EXE (par exemple: GTGUQPPA.EXE, XOHSKVXQ.EXE, etc.) et se place avec le nom de fichier original. Par conséquent, la copie du ver sera exécutée chaque fois qu'un utilisateur ou un système exécute le fichier infecté.

Pour renvoyer le contrôle au fichier hôte, le ver stocke les noms de fichiers dans la clé de registre HKCUAppEventsSchemesApps.DefaultSystemStartWindows, par exemple: 

C: WIN95calc.exe "gtguqppa.exe"C: WIN95mplayer.exe "xohskvxq.exe"etc

Cette information peut être utilisée pour désinfecter l'ordinateur.

Pour détecter les fichiers déjà infectés, le ver utilise la FileVersion qui est stockée dans les ressources du fichier PE EXE. Dans les fichiers infectés, cette variable est définie sur "1.3.5.7".

Infecter les lecteurs locaux et réseau

Le ver se copie également et «enregistre» sur les disques logiques disponibles: amovibles, fixes et réseau. Lors de l'infection des fichiers amovibles, le ver recherche le fichier AUTOEXEC.BAT, ajoute une instruction pour exécuter le fichier PKZIP.EXE lors du chargement du lecteur et se copie sur le lecteur avec le nom du fichier PKZIP.EXE.

En infectant les disques durs, le ver recherche le fichier PKZIP.EXE dans les répertoires racine de ces lecteurs et se copie avec ce nom si un tel fichier ne s'y trouve pas. Pour exécuter ce fichier, le ver crée le fichier AUTORUN.INF sur le lecteur et y écrit un bloc d'instructions pour exécuter le fichier PKZIP.EXE (copie de ver) lors du prochain démarrage de Windows: 

[autorun]open = pkzip.exe

Tout en infectant un lecteur distant, le ver vérifie tout d'abord ce disque pour une autorisation écrite. Pour ce faire, le ver crée le fichier TEMP9385.058 et le supprime. Dans le cas où aucune erreur ne s'est produite pendant le fonctionnement, le ver continue à s'étendre au lecteur. Il se copie là-bas avec le nom PKZIP.EXE et crée le fichier AUTORUN.INF de la même manière que lorsqu'il affecte les lecteurs fixes sur l'ordinateur local. En outre, le ver recherche les répertoires Windows et WinNT sur le lecteur et enregistre sa copie PKZIP.EXE dans le fichier WIN.INI dans l'instruction [runtime] [windows]. Cette opération provoque également l'exécution de la copie de ver au prochain démarrage de Windows.

Tout en infectant les lecteurs réseau, le ver détruit également plusieurs fichiers exécutables, s'ils existent, et les écrase avec sa copie: 

Acrobat3ReaderAcrord32.exeEudora95Eudora.exeProgram FilesMicrosoft OfficeOfficeOutlook.exeProgram FilesInternet ExplorerIexplore.exeProgramme FilesWinZipWinZip32.exeProgram FilesMicrosoft OfficeOfficeWinWord.exeProgramme FilesNetscapeProgramNetscape.exe

Infecter le client mIRC et se propager via les canaux IRC

Cette routine est exécutée en fonction de l'heure du système et non chaque fois que les fichiers infectés sont exécutés. Il cherche le client mIRC installé dans le système en accédant au fichier de script mIRC dans les répertoires: 

C: MIRCSCRIPT.INIC: MIRC32SCRIPT.INIC: Program FilesMIRCSCRIPT.INIC: Program FilesMIRC32SCRIPT.INI

Si aucun de ces fichiers n'existe, le ver quitte la routine d'infection. Sinon, il écrase le fichier SCRIPT.INI avec l'instruction qui envoie le fichier C: PKZIP.EXE à tous ceux qui entrent dans le canal affecté.

Envoyer des emails infectés

Cette routine est exécutée en fonction de l'heure du système, ainsi que de la routine d'infection mIRC. Tout d'abord, le ver obtient le nom du répertoire Eudora en accédant à la clé de registre: SoftwareQualcommEudoraCommandLine. Le ver scanne alors la base de courrier Eudora (les fichiers OUT.MBX), récupère les adresses et les stocke dans la liste où le message infecté sera envoyé. Il semble que le ver ajoute aussi l'adresse email "support@microsoft.com" à cette liste.

Le ver prépare ensuite le fichier C: USER.MSG qui sera ensuite utilisé pour initialiser le système Eudora sendmail. Le ver y écrit toutes les données nécessaires pour envoyer le message avec l'attachement infecté: 

À: liste d'adresses du fichier OUT.MBX, plus "support@microsoft.com"Objet: voici ce que vous avez demandéX-pièces jointes: c: pkzip.exe;Corps du message:Vous aviez demandé cela il y a un moment, alors vous voilà.prendre plaisir.

Le ver ouvre alors le fichier C: USER.MSG par une fonction Windows qui active Eudora sendmail.

Voler des fichiers de mot de passe

Lors de l'installation dans le système et de l'infection des fichiers, le ver recherche également les fichiers de mot de passe Windows (fichiers .PWL), lit les données des mots de passe à partir de là et s'attache au corps du fichier infecté.

Le ver n'envoie pas les mots de passe à une adresse Internet, mais les garde simplement attachés aux fichiers infectés. Par conséquent, les mots de passe volés ne quittent l'ordinateur que si le ver transmet ses copies à Internet ou à des canaux IRC.

Routines de charge utile

Le ver a de nombreuses routines de charge utile qui sont activées en fonction de la date et de l'heure du système. Le ver par ces routines:

- Arrête l'ordinateur en lançant un nombre illimité de threads.

- Remplace la clé de registre .DEFAULTSoftwareMicrosoftRegEdt32Settings avec la valeur "AutoRefresh = 0".

- Modifie les paramètres d'Internet Explorer. En réécrivant les clés de registre SOFTWAREMicrosoftInternet ExplorerMain, les vers définissent la «Page de démarrage» sur «http://www.whitehouse.com/» et «Page de recherche» sur «http://www.bigboobies.com», et désactive le cache Internet. mise à jour.

En réécrivant les clés de registre SOFTWAREMicrosoftInternet ExplorerSearchUrl et SOFTWAREMicrosoftInternet ExplorerTypedURLs, le ver définit la page Web "http://www.gayextreme.com/queer/handle-it.html" sur la première position des pages Web récemment utilisées; définit "SearchURL" sur "http://www.fetishrealm.com/fatgirls/pic3.htm";

- En réécrivant les ensembles de clés de registre SoftwareMirabilisICQBookmarks: 

"Main Page" à "http://www.biggfantac.com/terra/index.html","Support client" à "http://www.pornoparty.net""Menu" à "http://www.gayextreme.com/queer/handle-it.html"

- Supprime toutes les clés de 

SOFTWAREMicrosoftWindowsCurrentVersionUninstall ouLOGICIELMicrosoftWindowsCurrentVersionInternet SettingsZones

- Définit les paramètres Windows: 

RegisteredOwner = "Idiot avec un virus"RegisteredOrganization and ProductID = "Registre Rage Virus L1999"

- Crée des fichiers C: POEM1.TXT ou C: POEM2.TXT, y écrit l'un des textes (voir ci-dessous) et les ouvre avec NOTEPAD.EXE. Les textes se présentent comme suit: 

Pour gagner pour le corps et l'esprit tout ce qui adhère et va de l'avantet n'est pas dropt par la mort;J'effacerai l'égoïsme et le montrerai sous-jacent à tout, et je serai lebarde de la personnalité,Et je montrerai de l'homme et de la femme que l'un ou l'autre n'est que l'égal deL'autre,Et je montrerai qu'il n'y a pas d'imperfection dans le présent, etne peut être aucun dans le futur,Et je vais montrer que quoi qu'il arrive à tout le monde, il peut être tourné versde beaux résultats,Et je montrerai que rien ne peut arriver de plus beau que la mort ...- Walt WhitmanRien meurt divin. Tout le bien est éternellement reproductif. La beauté dela nature se réforme dans l'esprit, et non pour la contemplation stérile,mais pour une nouvelle création.Tous les hommes sont dans une certaine mesure impressionnés par la face du monde; quelques hommesmême pour ravir. Cet amour de la beauté est le goût. D'autres ont le même amourdans un tel excès, que, non content d'admirer, ils cherchent à incarnerdans de nouvelles formes. La creation de la beauté est l'art.- Ralph Waldo Emerson

Les routines de charge utile du ver effacent ou modifient divers paramètres Windows, minimisent les paramètres de sauvegarde et de ScanDisk, effacent la sauvegarde du registre, etc.

En savoir plus

Découvrez les statistiques de la propagation des vulnérabilités dans votre région statistics.securelist.com

Vous avez trouvé une inexactitude dans la description de cette vulnérabilité ? Faites-le nous savoir !
Kaspersky!
Votre vie en ligne mérite une protection complète!
Apprendre encore plus
Kaspersky IT Security Calculator:
Calculez le profil de sécurité de votre entreprise
Apprendre encore plus
Related articles
24 April 2024
Securelist
Assessing the Y, and How, of the XZ Utils incident
22 April 2024
Securelist
ToddyCat is making holes in your infrastructure
18 April 2024
Securelist
DuneQuixote campaign targets Middle Eastern entities with “CR4T” malware
17 April 2024
Securelist
SoumniBot: the new Android banker’s unique techniques
15 April 2024
Securelist
Using the LockBit builder to generate targeted ransomware
12 April 2024
Securelist
XZ backdoor story – Initial analysis
Vous avez trouvé une inexactitude dans la description de cette vulnérabilité ?
Si vous avez découvert une nouvelle menace ou vulnérabilité, veuillez nous en informer par e-mail :
newvirus@kaspersky.com
Vous avez découvert une nouvelle menace ou vulnérabilité ?
Si vous avez découvert une nouvelle menace ou vulnérabilité, veuillez nous en informer par e-mail :
newvirus@kaspersky.com
Solutions pour
Particuliers
Petites entreprises
Moyennes entreprises
Grandes entreprises
Select language
Sorting
Menace
Confirm changes?
Your message has been sent successfully.