CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS. Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.
Solutions pour:
Particuliers
Petites entreprises
Moyennes entreprises
Grandes entreprises
Vulnérabilités Menaces
Accueil Menaces Email-Worm Win32

Email-Worm.Win32.Unicle

Classe
Email-Worm
Plateforme
Win32

Classe pour les parents: VirWare

Les virus et les vers sont des programmes malveillants qui s'auto-répliquent sur des ordinateurs ou via des réseaux informatiques sans que l'utilisateur en soit conscient; chaque copie ultérieure de tels programmes malveillants est également capable de s'autoreproduire. Les programmes malveillants qui se propagent via des réseaux ou infectent des machines distantes lorsque le "propriétaire" (par exemple Backdoors) ou les programmes qui créent plusieurs copies qui ne peuvent pas s'auto-répliquer ne font pas partie de la sous-classe Virus and Worms. La caractéristique principale utilisée pour déterminer si un programme est classé comme un comportement distinct dans la sous-classe Virus and Worms est la manière dont le programme se propage (c'est-à-dire comment le programme malveillant répand des copies de lui-même via des ressources locales ou réseau). en tant que fichiers envoyés en pièces jointes, via un lien vers une ressource Web ou FTP, via un lien envoyé dans un message ICQ ou IRC, via des réseaux de partage de fichiers P2P, etc. Certains vers se propagent sous la forme de paquets réseau; ceux-ci pénètrent directement dans la mémoire de l'ordinateur et le code du ver est alors activé. Worms utilise les techniques suivantes pour pénétrer des ordinateurs distants et lancer des copies d'eux-mêmes: ingénierie sociale (par exemple, un message électronique suggérant que l'utilisateur ouvre un fichier joint), exploitation des erreurs de configuration réseau (par exemple copie sur disque entièrement accessible) failles dans la sécurité du système d'exploitation et des applications. Les virus peuvent être divisés en fonction de la méthode utilisée pour infecter un ordinateur: virus de fichiers virus du secteur de démarrage virus de script virus de virus Tous les programmes de cette sous-classe peuvent avoir des fonctions de Troie supplémentaires. Il convient également de noter que de nombreux vers utilisent plus d'une méthode pour diffuser des copies via des réseaux. Les règles de classification des objets détectés avec des fonctions multiples doivent être utilisées pour classer ces types de vers.

Classe: Email-Worm

Email-Worms propagation par e-mail. Le ver envoie une copie de lui-même en pièce jointe à un message électronique ou un lien vers son fichier sur une ressource réseau (par exemple, une URL vers un fichier infecté sur un site Web compromis ou un site Web appartenant à un pirate). Dans le premier cas, le code du ver est activé lorsque la pièce jointe infectée est ouverte (lancée). Dans le second cas, le code est activé lorsque le lien vers le fichier infecté est ouvert. Dans les deux cas, le résultat est le même: le code du ver est activé. Email-Worms utilise une gamme de méthodes pour envoyer des emails infectés. Les plus courantes sont: l'utilisation d'une connexion directe à un serveur SMTP à l'aide du répertoire de messagerie intégré dans le code du ver en utilisant les services MS Outlook à l'aide des fonctions Windows MAPI. Email-Worms utilisent un certain nombre de sources différentes pour trouver les adresses email auxquelles les emails infectés seront envoyés: le carnet d'adresses dans MS Outlook une base de données d'adresses WAB .txt fichiers stockés sur le disque dur: le ver peut identifier les chaînes dans les fichiers texte Les e-mails adressent des e-mails dans la boîte de réception (certains e-mails peuvent même répondre aux e-mails trouvés dans la boîte de réception) De nombreux vers de messagerie utilisent plus d'une des sources répertoriées ci-dessus. Il existe également d'autres sources d'adresses électroniques, telles que les carnets d'adresses associés aux services de messagerie Web.

Plus d'informations

Plateforme: Win32

Win32 est une API sur les systèmes d'exploitation Windows NT (Windows XP, Windows 7, etc.) qui prend en charge l'exécution des applications 32 bits. L'une des plateformes de programmation les plus répandues au monde.

Description

Détails techniques

Caractéristiques générales

Ce ver est capable de fonctionner uniquement sur les versions chinoises de Windows et se propage en envoyant des messages électroniques infectés. Le ver a deux composants: un programme de script et un fichier Windows PE EXE. Le premier composant (script) est envoyé dans des courriels infectés, infecte l'ordinateur, puis télécharge et exécute un composant EXE qui complète l'infection et propage davantage les copies du ver.

Installation

Le ver arrive en tant que message HTML avec un programme JavaScript à l'intérieur. Ce script est automatiquement traité lors de l'ouverture d'un message et le code du ver obtient le contrôle.

Remarque:
Les navigateurs Internet et les clients de messagerie disposent de protections de sécurité intégrées qui empêchent les programmes de script intégrés dans les messages d'accéder aux fichiers du disque et aux ressources système (le ver doit se propager tout seul - voir ci-dessous). Pour infecter le système à partir d'un message électronique, le ver doit éviter ces protections. Pour ce faire, il exploite une faille de sécurité Internet Explorer 5 - une vulnérabilité dite "Scriptlet.Typelib" (voir ci-dessous).

Le ver recherche ensuite le répertoire de démarrage - il recherche les répertoires Windows dans l'ordre suivant:

C: WINDOWSStart MenuPrograms-T-�
C: WINDOWStart MenuPrograms-T-�
C: WINStart MenuProgrammes-T-�
C: WIN98Start MenuPrograms-T-�
C: WIN95Start MenuPrograms-T-�
C: WINDOWS.000Start MenuPrograms-T-�
C: WINDOWS.001Démarrer MenuPrograms-T-�
D: WINDOWSStart MenuPrograms-T-�
D: WINDOWStart MenuProgrammes-T-�
D: WINStart MenuProgrammes-T-�
D: WIN98Start MenuPrograms-T-�
D: WIN95Start MenuProgrammes-T-�
D: WINDOWS.000Start MenuPrograms-T-�
D: WINDOWS.001Démarrer MenuPrograms-T-�

Dans le cas où il n'y a pas de tels répertoires sur la machine, le ver ne peut pas infecter le système et ne peut pas s'étendre plus loin. Les derniers caractères de chaque ligne sont des chaînes chinoises, et ils ne peuvent être utilisés sous aucune autre version locale de Windows, ce qui explique pourquoi le ver ne peut affecter que les fenêtres chinoises.

Si un répertoire approprié a été trouvé, le ver crée le fichier "Microsoft Internet Explorer.hta". Ce fichier contient l'application HTML qui contient un autre programme de script de ver. Comme le fichier est créé dans le répertoire de démarrage de Windows, il sera exécuté au prochain démarrage de Windows.

Un script "Microsoft Internet Explorer.hta" exécuté une fois crée le fichier MSIE.INI dans le répertoire système Windows et stocke l'adresse du serveur SMTP local (le ver obtient cette adresse de serveur SMTP à partir du registre système).

Remarque:
le serveur SMTP est une machine qui reçoit des messages électroniques de l'ordinateur. Dans les cas où il existe un PC ou un serveur de messagerie autonome, il s'agit de l'adresse du fournisseur ou de toute autre adresse utilisée comme serveur de messagerie hôte pour envoyer [et recevoir] des courriels.

Après cela, le ver crée le dossier "system" dans le répertoire système Windows (par exemple "C: WINDOWSSYSTEMsystem") et essaie de télécharger le fichier MSIE.EXE à partir d'Internet. Pour ce faire, le ver se connecte à l'un des dix sites FTP en utilisant un script pour l'utilitaire standard FTP.EXE. Si le téléchargement échoue, le ver se met en boucle et tente de le répéter toutes les trois minutes.

Lorsque le fichier MSIE.EXE est téléchargé, le ver l'exécute (MSIE.EXE est une archive auto-extractible) et obtient deux fichiers supplémentaires:

EXPLORER.EXE
MSWINSCK.OCX

EXPLORER.EXE est le deuxième composant de ver (fichier Windows EXE) et MSWINSCK.OCX est une bibliothèque pour accéder aux sockets Windows.

Le ver démarre ensuite le fichier EXPLORER.EXE qui obtient les adresses e-mail et envoie les messages infectés avec le programme de script du ver à l'intérieur en utilisant le protocole SMTP. Pour acquérir les adresses e-mail des victimes, le ver scanne l'arborescence des sous-répertoires sur tous les lecteurs, recherchant les fichiers * .NCH, * .SNM, * .DBX (fichiers de base de données de messagerie), les analyse et recherche les adresses e-mail.

EXPLORER.EXE du ver effectue également des actions supplémentaires. Tout d'abord, il efface les "traces" de son composant script et supprime les fichiers qui ont été créés par lui: MSIE.HTA, MSIE.LST, MSBOOT.BAT, MSIE.EXE. Il s'enregistre ensuite dans le fichier WIN.INI dans la commande "run =" pour être automatiquement exécuté à chaque démarrage de Windows.

Le ver notifiera également son auteur (ou son hôte éventuel) de sa présence sur la machine infectée. Pour ce faire, il envoie un message à l'une des adresses:

leebill_001@yahoo.com
leebill_002@yahoo.com
...
leebill_023@yahoo.com

il y a 23 adresses possibles, et le ver en sélectionne aléatoirement un.

Charge utile

Le ver a une charge utile "backdoor" qui "écoute" un hôte distant et exécute ses commandes: afficher un répertoire, ouvrir / fermer / créer / exécuter / supprimer un fichier, etc

Des versions de démonstration de Kaspersky AntiVirus Toolkit Pro (AVP) capables de lutter contre le ver «Unicle» sont disponibles sur le site Web de Kaspersky à l'adresse http://www.kasperskylab.ru/eng/products/eval.asp.

Vous pouvez acheter en ligne une version entièrement fonctionnelle d'AntiViral Toolkit Pro via Internet à l'adresse suivante: http://www.kasperskylab.ru/eng/buy/default.asp

Comment se protéger contre le ver "Unicle"?

Microsoft a publié une mise à jour qui élimine la vulnérabilité de sécurité "Scriptlet.Typelib". Nous vous recommandons fortement de visiter http://support.microsoft.com/support/kb/articles/Q240/3/08.ASP et d'installer cette mise à jour.

Si vous n'utilisez aucune application HTML (fichiers HTA), il existe un autre moyen de prévenir l'infection par des virus de ce type (les vers et les virus qui utilisent la vulnérabilité de sécurité "Scriptlet.Typelib"). Vous devez supprimer l'association de fichier pour l'extension .HTA. Pour ce faire, vous devez suivre ces étapes:

1. Double-cliquez sur l'icône "Poste de travail" sur le bureau.
2. Dans la fenêtre apparue choisissez le menu "Affichage" -> "Options ...".
3. Dans l'onglet "Types de fichiers" de la zone de liste "Types de fichiers enregistrés", sélectionnez l'élément "HTML Applicaton".
4. Cliquez sur le bouton "Supprimer" et confirmez l'action.
5. Fermez la boîte de dialogue des options.

En savoir plus

Découvrez les statistiques de la propagation des vulnérabilités dans votre région statistics.securelist.com

Vous avez trouvé une inexactitude dans la description de cette vulnérabilité ? Faites-le nous savoir !
Kaspersky!
Votre vie en ligne mérite une protection complète!
Apprendre encore plus
Kaspersky IT Security Calculator:
Calculez le profil de sécurité de votre entreprise
Apprendre encore plus
Related articles
24 April 2024
Securelist
Assessing the Y, and How, of the XZ Utils incident
22 April 2024
Securelist
ToddyCat is making holes in your infrastructure
18 April 2024
Securelist
DuneQuixote campaign targets Middle Eastern entities with “CR4T” malware
17 April 2024
Securelist
SoumniBot: the new Android banker’s unique techniques
15 April 2024
Securelist
Using the LockBit builder to generate targeted ransomware
12 April 2024
Securelist
XZ backdoor story – Initial analysis
Vous avez trouvé une inexactitude dans la description de cette vulnérabilité ?
Si vous avez découvert une nouvelle menace ou vulnérabilité, veuillez nous en informer par e-mail :
newvirus@kaspersky.com
Vous avez découvert une nouvelle menace ou vulnérabilité ?
Si vous avez découvert une nouvelle menace ou vulnérabilité, veuillez nous en informer par e-mail :
newvirus@kaspersky.com
Solutions pour
Particuliers
Petites entreprises
Moyennes entreprises
Grandes entreprises
Select language
Sorting
Menace
Confirm changes?
Your message has been sent successfully.