CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

Email-Worm.Win32.Tettona

Classe Email-Worm
Plateforme Win32
Description

Détails techniques

C'est le virus du ver qui se propage via Internet en étant attaché à des emails infectés. Le ver a aussi une routine de backdoor.

Le ver lui-même est un fichier Windows PE EXE d'environ 35 Ko de longueur (compressé par Petite, taille décompressée – environ 75 Ko), écrit en Microsoft Visual C ++.

Les textes et les noms de fichiers joints dans les messages infectés sont différents, ils dépendent de la date actuelle et du support de la langue italienne:

Les sujets sont:

Incroyable .. Incredibile .. Urgente! (vedi allegato) Qualsiasi cosa fai, falla al meglio.

Le corps du message commence par "Bonjour" ou "Ciao", puis les corps sont:

 voir ce fichier intéressant.
 okkio all'allegato ;-)
 devi assolutamente vedere il le fichier che ti ho allegato.
 apri subito l'allegato, e 'MOLTO interessante.

Le corps du message est complété par "A presto ..." ou "Bye". texte.

Fichiers joints:

   tettona.exe
   euro.exe
   tattoo.exe

Le ver s'active à partir d'un courrier électronique infecté uniquement au cas où un utilisateur clique sur un fichier joint. Le ver s'installe ensuite dans le système, exécute la routine d'épandage et la porte dérobée.

Installation

Lors de l'installation du ver se copie dans le répertoire Windows avec le nom DLLMGR32.EXE et enregistre ce fichier dans la clé d'exécution automatique du Registre système:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun DllManager =% windir% dllmgr32.exe

Le ver affiche alors un faux message d'erreur:

 Erreur
  VBRUN49.DLL non trouvé!
Diffusion

Pour envoyer des messages infectés, le ver utilise une connexion directe au serveur SMTP par défaut, puis ouvre la base de données WAB (Carnet d'adresses Windows) et envoie des messages à toutes les adresses qui s'y trouvent.

Porte de derrière

La procédure de porte dérobée ouvre la connexion sur le port 5001 et écoute le "maître". Ensuite, il traite les instructions suivantes:

 "HELO" - réponses avec "Bonjour, guy" texte
 "SCAN" - scanne tous les répertoires et rapporte les répertoires / fichiers (comme la commande DIR distante)
 "EXEC" - exécute le fichier spécifié
 "UNINST" - se retire du système, y compris la clé "Run" du registre.
 "VIEW" - affiche pour "masteriser" le fichier spécifié
 "DOWN" - téléchargements vers le fichier "master" spécifié
Charge utile

Le 12 janvier, le ver affiche le message suivant:

 Bonjour,

  Ciao,
  il tuo ordinateur � infettato dal virus Fral�.
  Certo che devi essere proprio un pirlone,
  par esserti fatto fregare dal mio stupidissimo ver.
  Va b�, v�, non ti preoccupare, oggi non sono in vena di cattiverie,
   � anche un giorno festivo par moi.

  Buona giornata ..
  par 4nt4R35

Lien vers l'original