CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

Email-Worm.Win32.SysClock

Classe Email-Worm
Plateforme Win32
Description

Détails techniques

Il s'agit d'un ver Internet (virus de type ver) qui se propage via des e-mails, des canaux IRC, infectant des fichiers sur des ordinateurs locaux et se propageant sur un réseau local. Il vole également les mots de passe système (fichiers PWL) des ordinateurs infectés, ainsi que de nombreuses routines de charge utile inoffensives et dangereuses. Le ver lui-même est d'environ 80Ko en taille Win32 (PE EXE – Portable Executable) programme écrit en Delphi, le code "pur" du ver occupe environ 20Kb et le reste est le code de la bibliothèque d'exécution Delphi, les données et les informations diverses du programme.

Le ver arrive comme un e-mail avec un faux message (voir ci-dessous) et un fichier PKZIP.EXE attaché qui est le programme du ver lui-même. Lorsque le ver est exécuté, il s'installe dans le système, infecte les fichiers sur un lecteur local, infecte les lecteurs logiques disponibles, infecte le client mIRC installé et envoie des e-mails infectés en utilisant le système de messagerie Eudora.

Installation dans le système

Pour s'installer dans le système, le ver se copie avec le nom KERNEL.EXE dans le répertoire Windows (sur les machines Win95 / 98) ou dans le répertoire système Windows (sous WinNT) et s'enregistre lui-même dans la clé auto-run du registre système :


SOFTWAREMicrosoftWindowsCurrentVersionRun SysClock = kernel.exe

Le ver dispose également d'une routine d'installation supplémentaire qui installe les copies de ver sur tous les lecteurs disponibles. Cette routine est décrite ci-dessous.

Infecter un ordinateur

Le ver est capable d'infecter environ 40 fichiers sur un ordinateur et n'infecte pas plus de quatre fichiers à chaque exécution. Le ver infecte les fichiers dans le répertoire Windows:


NOTEPAD.EXE, CALC.EXE, DEFRAG.EXE, SCANDSKW.EXE, WRITE.EXE, WINIPCFG.EXE,
SCANREGW.EXE, DRWTSN32.EXE, NTBACKUP.EXE, REGEDT32.EXE, TASKMGR.EXE,
USRMGR.EXE

Le ver infecte alors les programmes associés aux clés de registre:


SOFTWAREClassesAccess.Application.8 shellopencommand
SOFTWAREClassesAudioCD shellplaycommand
SOFTWAREClassesAVIFile shellplaycommand
SOFTWAREClassescdafile shellplaycommand
SOFTWAREClassesChat shellopencommand
SOFTWAREClientsNewsForte Agent shellopencommand
SOFTWAREClassesExcel.Sheet.8 shellopencommand
SOFTWAREClassesftp shellopencommand
SOFTWAREClassesgiffile shellopencommand
SOFTWAREClasseshlpfile shellopencommand
SOFTWAREClassesEudora DefaultIcon
SOFTWAREClassesEudora shellopencommand
SOFTWAREClassesMicrosoft Internet Mail Message shellopencommand
SOFTWAREClassesMicrosoft Internet News Message shellopencommand
SOFTWAREClassesMOVFile shellopencommand
SOFTWAREClassesMsi.Package shellopencommand
SOFTWAREClassespcANYWHERE32 shellopencommand
SOFTWAREClassesQuickView shellopencommand
SOFTWAREClassesRealPlayer.RAM.6 shellopencommand
SOFTWAREClassesWinamp.File shellopencommand
SOFTWAREClassesUnfinished Télécharger shellopencommand
SOFTWAREClassesUltraEdit-32 Document shellopencommand
SOFTWAREClassesWhiteboard shellopencommand
SOFTWAREClassesvcard_wab_auto_file shellopencommand
LOGICIELUlead SystemsUlead PhotoImpact4.0PathIeEdit.exe
LOGICIELKasperskyLabComponents102EXEName

Lors de l'infection de chaque fichier, le ver utilise la méthode d'infection compagnon: il renomme un fichier victime avec un nom aléatoire de huit octets et une extension .EXE (par exemple: GTGUQPPA.EXE, XOHSKVXQ.EXE, etc.) et se place avec le nom de fichier original. Par conséquent, la copie du ver sera exécutée chaque fois qu'un utilisateur ou un système exécute le fichier infecté.

Pour renvoyer le contrôle au fichier hôte, le ver stocke les noms de fichiers dans la clé de registre HKCUAppEventsSchemesApps.DefaultSystemStartWindows, par exemple:


C: WIN95calc.exe "gtguqppa.exe"
C: WIN95mplayer.exe "xohskvxq.exe"
etc

Cette information peut être utilisée pour désinfecter l'ordinateur.

Pour détecter les fichiers déjà infectés, le ver utilise la FileVersion qui est stockée dans les ressources du fichier PE EXE. Dans les fichiers infectés, cette variable est définie sur "1.3.5.7".

Infecter les lecteurs locaux et réseau

Le ver se copie également et «enregistre» sur les disques logiques disponibles: amovibles, fixes et réseau. Lors de l'infection des fichiers amovibles, le ver recherche le fichier AUTOEXEC.BAT, ajoute une instruction pour exécuter le fichier PKZIP.EXE lors du chargement du lecteur et se copie sur le lecteur avec le nom du fichier PKZIP.EXE.

En infectant les disques durs, le ver recherche le fichier PKZIP.EXE dans les répertoires racine de ces lecteurs et se copie avec ce nom si un tel fichier ne s'y trouve pas. Pour exécuter ce fichier, le ver crée le fichier AUTORUN.INF sur le lecteur et y écrit un bloc d'instructions pour exécuter le fichier PKZIP.EXE (copie de ver) lors du prochain démarrage de Windows:


[autorun]
open = pkzip.exe

Tout en infectant un lecteur distant, le ver vérifie tout d'abord ce disque pour une autorisation écrite. Pour ce faire, le ver crée le fichier TEMP9385.058 et le supprime. Dans le cas où aucune erreur ne s'est produite pendant le fonctionnement, le ver continue à s'étendre au lecteur. Il se copie là-bas avec le nom PKZIP.EXE et crée le fichier AUTORUN.INF de la même manière que lorsqu'il affecte les lecteurs fixes sur l'ordinateur local. En outre, le ver recherche les répertoires Windows et WinNT sur le lecteur et enregistre sa copie PKZIP.EXE dans le fichier WIN.INI dans l'instruction [runtime] [windows]. Cette opération provoque également l'exécution de la copie de ver au prochain démarrage de Windows.

Tout en infectant les lecteurs réseau, le ver détruit également plusieurs fichiers exécutables, s'ils existent, et les écrase avec sa copie:


Acrobat3ReaderAcrord32.exe
Eudora95Eudora.exe
Program FilesMicrosoft OfficeOfficeOutlook.exe
Program FilesInternet ExplorerIexplore.exe
Programme FilesWinZipWinZip32.exe
Program FilesMicrosoft OfficeOfficeWinWord.exe
Programme FilesNetscapeProgramNetscape.exe

Infecter le client mIRC et se propager via les canaux IRC

Cette routine est exécutée en fonction de l'heure du système et non chaque fois que les fichiers infectés sont exécutés. Il cherche le client mIRC installé dans le système en accédant au fichier de script mIRC dans les répertoires:


C: MIRCSCRIPT.INI
C: MIRC32SCRIPT.INI
C: Program FilesMIRCSCRIPT.INI
C: Program FilesMIRC32SCRIPT.INI

Si aucun de ces fichiers n'existe, le ver quitte la routine d'infection. Sinon, il écrase le fichier SCRIPT.INI avec l'instruction qui envoie le fichier C: PKZIP.EXE à tous ceux qui entrent dans le canal affecté.

Envoyer des emails infectés

Cette routine est exécutée en fonction de l'heure du système, ainsi que de la routine d'infection mIRC. Tout d'abord, le ver obtient le nom du répertoire Eudora en accédant à la clé de registre: SoftwareQualcommEudoraCommandLine. Le ver scanne alors la base de courrier Eudora (les fichiers OUT.MBX), récupère les adresses et les stocke dans la liste où le message infecté sera envoyé. Il semble que le ver ajoute aussi l'adresse email "support@microsoft.com" à cette liste.

Le ver prépare ensuite le fichier C: USER.MSG qui sera ensuite utilisé pour initialiser le système Eudora sendmail. Le ver y écrit toutes les données nécessaires pour envoyer le message avec l'attachement infecté:


À: liste d'adresses du fichier OUT.MBX, plus "support@microsoft.com"
Objet: voici ce que vous avez demandé
X-pièces jointes: c: pkzip.exe;
Corps du message:
Vous aviez demandé cela il y a un moment, alors vous voilà.
prendre plaisir.

Le ver ouvre alors le fichier C: USER.MSG par une fonction Windows qui active Eudora sendmail.

Voler des fichiers de mot de passe

Lors de l'installation dans le système et de l'infection des fichiers, le ver recherche également les fichiers de mot de passe Windows (fichiers .PWL), lit les données des mots de passe à partir de là et s'attache au corps du fichier infecté.

Le ver n'envoie pas les mots de passe à une adresse Internet, mais les garde simplement attachés aux fichiers infectés. Par conséquent, les mots de passe volés ne quittent l'ordinateur que si le ver transmet ses copies à Internet ou à des canaux IRC.

Routines de charge utile

Le ver a de nombreuses routines de charge utile qui sont activées en fonction de la date et de l'heure du système. Le ver par ces routines:

– Arrête l'ordinateur en lançant un nombre illimité de threads.

– Remplace la clé de registre .DEFAULTSoftwareMicrosoftRegEdt32Settings avec la valeur "AutoRefresh = 0".

– Modifie les paramètres d'Internet Explorer. En réécrivant les clés de registre SOFTWAREMicrosoftInternet ExplorerMain, les vers définissent la «Page de démarrage» sur «http://www.whitehouse.com/» et «Page de recherche» sur «http://www.bigboobies.com», et désactive le cache Internet. mise à jour.

En réécrivant les clés de registre SOFTWAREMicrosoftInternet ExplorerSearchUrl et SOFTWAREMicrosoftInternet ExplorerTypedURLs, le ver définit la page Web "http://www.gayextreme.com/queer/handle-it.html" sur la première position des pages Web récemment utilisées; définit "SearchURL" sur "http://www.fetishrealm.com/fatgirls/pic3.htm";

– En réécrivant les ensembles de clés de registre SoftwareMirabilisICQBookmarks:


"Main Page" à "http://www.biggfantac.com/terra/index.html",
"Support client" à "http://www.pornoparty.net"
"Menu" à "http://www.gayextreme.com/queer/handle-it.html"

– Supprime toutes les clés de


SOFTWAREMicrosoftWindowsCurrentVersionUninstall ou
LOGICIELMicrosoftWindowsCurrentVersionInternet SettingsZones

– Définit les paramètres Windows:


RegisteredOwner = "Idiot avec un virus"
RegisteredOrganization and ProductID = "Registre Rage Virus L1999"

– Crée des fichiers C: POEM1.TXT ou C: POEM2.TXT, y écrit l'un des textes (voir ci-dessous) et les ouvre avec NOTEPAD.EXE. Les textes se présentent comme suit:


Pour gagner pour le corps et l'esprit tout ce qui adhère et va de l'avant
et n'est pas dropt par la mort;
J'effacerai l'égoïsme et le montrerai sous-jacent à tout, et je serai le
barde de la personnalité,
Et je montrerai de l'homme et de la femme que l'un ou l'autre n'est que l'égal de
L'autre,
Et je montrerai qu'il n'y a pas d'imperfection dans le présent, et
ne peut être aucun dans le futur,
Et je vais montrer que quoi qu'il arrive à tout le monde, il peut être tourné vers
de beaux résultats,
Et je montrerai que rien ne peut arriver de plus beau que la mort …
– Walt Whitman
Rien meurt divin. Tout le bien est éternellement reproductif. La beauté de
la nature se réforme dans l'esprit, et non pour la contemplation stérile,
mais pour une nouvelle création.
Tous les hommes sont dans une certaine mesure impressionnés par la face du monde; quelques hommes
même pour ravir. Cet amour de la beauté est le goût. D'autres ont le même amour
dans un tel excès, que, non content d'admirer, ils cherchent à incarner
dans de nouvelles formes. La creation de la beauté est l'art.
– Ralph Waldo Emerson

Les routines de charge utile du ver effacent ou modifient divers paramètres Windows, minimisent les paramètres de sauvegarde et de ScanDisk, effacent la sauvegarde du registre, etc.


Lien vers l'original