..
Click anywhere to stop
Click anywhere to stop
CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.
Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.
Classe | Email-Worm |
Plateforme | Win32 |
Description |
Détails techniquesC'est un ver Internet qui se propage dans les e-mails infectés en utilisant MS Outlook. Le ver lui-même est un exécutable Windows écrit en Delphi et compressé par l'utilitaire de compression Aspack PE EXE. La taille du fichier du ver (compressé) est d'environ 200K, la taille d'origine (non compressée) est d'environ 400K. Le ver s'installe dans le système, puis accède périodiquement à MS Outlook et envoie des messages infectés. Il n'y a pas de routine de charge utile trouvée dans le code du ver. Le ver cache son activité en prétendant être un utilitaire "Personal ID Generator". Cet utilitaire utilise des chaînes en codage chinois, il ne peut donc pas être vraiment visible sous des fenêtres non chinoises. En même temps que le ver affiche la fenêtre "Personal ID Generator", il s'installe dans Windows. Pour ce faire, il obtient les noms des répertoires système Windows et Windows et s'y copie avec le nom "SYSID.EXE". Dans le cas où le ver ne peut pas détecter le répertoire Windows, il utilise des noms codés en dur:
Pour s'exécuter à chaque démarrage de Windows, le ver enregistre sa copie dans le registre système dans la section d'exécution automatique:
Le ver utilise un truc pour cacher cet enregistrement. Une fois activé, le ver supprime cet enregistrement du registre et, en le quittant, le restaure. Pour rester actif le plus longtemps possible, le ver laisse sa copie dans la mémoire de Windows en tant qu'application cachée (service). Ainsi, le ver est actif jusqu'à l'arrêt de Windows et l'enregistrement du ver dans le registre du système n'est pas visible. Au moment où Windows est arrêté, le ver restaure l'enregistrement du registre. Par conséquent, l'enregistrement de ver ne peut pas être lu par RegEdit standard – il n'existe tout simplement pas lorsque Windows a terminé sa procédure de démarrage et jusqu'à ce que Windows soit redémarré:
Pour se propager via des messages électroniques, le ver exécute une aide de fichier. Ce fichier est une application VisualBasicScript et est créé par le ver dans le répertoire système Windows avec le nom WINVER.VBS. Le programme VBS dans ce fichier accède à MS Outlook, obtient des noms sélectionnés au hasard à partir du carnet d'adresses et crée et envoie des messages à ces adresses. Le nombre d'adresses infectées dépend du nombre total d'adresses dans les listes d'adresses. Dans le cas où il y a moins de 200 adresses, le ver envoie des messages à 10% d'entre eux; sinon, (plus de 200 messages), le ver envoie des courriels infectés à 2% d'entre eux. Le corps du message infecté est vide. Le message Sujet est sélectionné au hasard parmi toutes les variantes de sujets dans la liste Outlook "Éléments envoyés". Le message a quatre fichiers joints. La première est la copie du ver EXE avec un nom choisi au hasard parmi 100 variantes (voir ci-dessous); deuxièmement, le fichier joint est sélectionné au hasard parmi les fichiers .JPEG, .JPG, .DOC et .XLS trouvés dans le dossier "C: Mes documents". Deux autres fichiers joints sont des messages électroniques sélectionnés au hasard dans la liste "Éléments envoyés". La liste des noms EXE de ver possibles apparaît comme suit:
|
Lien vers l'original |
|
Découvrez les statistiques de la propagation des menaces dans votre région |