CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

Email-Worm.Win32.Unicle

Classe Email-Worm
Plateforme Win32
Description

Détails techniques

Caractéristiques générales

Ce ver est capable de fonctionner uniquement sur les versions chinoises de Windows et se propage en envoyant des messages électroniques infectés. Le ver a deux composants: un programme de script et un fichier Windows PE EXE. Le premier composant (script) est envoyé dans des courriels infectés, infecte l'ordinateur, puis télécharge et exécute un composant EXE qui complète l'infection et propage davantage les copies du ver.

Installation

Le ver arrive en tant que message HTML avec un programme JavaScript à l'intérieur. Ce script est automatiquement traité lors de l'ouverture d'un message et le code du ver obtient le contrôle.

Remarque:
Les navigateurs Internet et les clients de messagerie disposent de protections de sécurité intégrées qui empêchent les programmes de script intégrés dans les messages d'accéder aux fichiers du disque et aux ressources système (le ver doit se propager tout seul – voir ci-dessous). Pour infecter le système à partir d'un message électronique, le ver doit éviter ces protections. Pour ce faire, il exploite une faille de sécurité Internet Explorer 5 – une vulnérabilité dite "Scriptlet.Typelib" (voir ci-dessous).

Le ver recherche ensuite le répertoire de démarrage – il recherche les répertoires Windows dans l'ordre suivant:

C: WINDOWSStart MenuPrograms-T-�
C: WINDOWStart MenuPrograms-T-�
C: WINStart MenuProgrammes-T-�
C: WIN98Start MenuPrograms-T-�
C: WIN95Start MenuPrograms-T-�
C: WINDOWS.000Start MenuPrograms-T-�
C: WINDOWS.001Démarrer MenuPrograms-T-�
D: WINDOWSStart MenuPrograms-T-�
D: WINDOWStart MenuProgrammes-T-�
D: WINStart MenuProgrammes-T-�
D: WIN98Start MenuPrograms-T-�
D: WIN95Start MenuProgrammes-T-�
D: WINDOWS.000Start MenuPrograms-T-�
D: WINDOWS.001Démarrer MenuPrograms-T-�

Dans le cas où il n'y a pas de tels répertoires sur la machine, le ver ne peut pas infecter le système et ne peut pas s'étendre plus loin. Les derniers caractères de chaque ligne sont des chaînes chinoises, et ils ne peuvent être utilisés sous aucune autre version locale de Windows, ce qui explique pourquoi le ver ne peut affecter que les fenêtres chinoises.

Si un répertoire approprié a été trouvé, le ver crée le fichier "Microsoft Internet Explorer.hta". Ce fichier contient l'application HTML qui contient un autre programme de script de ver. Comme le fichier est créé dans le répertoire de démarrage de Windows, il sera exécuté au prochain démarrage de Windows.

Un script "Microsoft Internet Explorer.hta" exécuté une fois crée le fichier MSIE.INI dans le répertoire système Windows et stocke l'adresse du serveur SMTP local (le ver obtient cette adresse de serveur SMTP à partir du registre système).

Remarque:
le serveur SMTP est une machine qui reçoit des messages électroniques de l'ordinateur. Dans les cas où il existe un PC ou un serveur de messagerie autonome, il s'agit de l'adresse du fournisseur ou de toute autre adresse utilisée comme serveur de messagerie hôte pour envoyer [et recevoir] des courriels.

Après cela, le ver crée le dossier "system" dans le répertoire système Windows (par exemple "C: WINDOWSSYSTEMsystem") et essaie de télécharger le fichier MSIE.EXE à partir d'Internet. Pour ce faire, le ver se connecte à l'un des dix sites FTP en utilisant un script pour l'utilitaire standard FTP.EXE. Si le téléchargement échoue, le ver se met en boucle et tente de le répéter toutes les trois minutes.

Lorsque le fichier MSIE.EXE est téléchargé, le ver l'exécute (MSIE.EXE est une archive auto-extractible) et obtient deux fichiers supplémentaires:

EXPLORER.EXE
MSWINSCK.OCX

EXPLORER.EXE est le deuxième composant de ver (fichier Windows EXE) et MSWINSCK.OCX est une bibliothèque pour accéder aux sockets Windows.

Le ver démarre ensuite le fichier EXPLORER.EXE qui obtient les adresses e-mail et envoie les messages infectés avec le programme de script du ver à l'intérieur en utilisant le protocole SMTP. Pour acquérir les adresses e-mail des victimes, le ver scanne l'arborescence des sous-répertoires sur tous les lecteurs, recherchant les fichiers * .NCH, * .SNM, * .DBX (fichiers de base de données de messagerie), les analyse et recherche les adresses e-mail.

EXPLORER.EXE du ver effectue également des actions supplémentaires. Tout d'abord, il efface les "traces" de son composant script et supprime les fichiers qui ont été créés par lui: MSIE.HTA, MSIE.LST, MSBOOT.BAT, MSIE.EXE. Il s'enregistre ensuite dans le fichier WIN.INI dans la commande "run =" pour être automatiquement exécuté à chaque démarrage de Windows.

Le ver notifiera également son auteur (ou son hôte éventuel) de sa présence sur la machine infectée. Pour ce faire, il envoie un message à l'une des adresses:

leebill_001@yahoo.com
leebill_002@yahoo.com

leebill_023@yahoo.com

il y a 23 adresses possibles, et le ver en sélectionne aléatoirement un.

Charge utile

Le ver a une charge utile "backdoor" qui "écoute" un hôte distant et exécute ses commandes: afficher un répertoire, ouvrir / fermer / créer / exécuter / supprimer un fichier, etc

Des versions de démonstration de Kaspersky AntiVirus Toolkit Pro (AVP) capables de lutter contre le ver «Unicle» sont disponibles sur le site Web de Kaspersky à l'adresse http://www.kasperskylab.ru/eng/products/eval.asp.

Vous pouvez acheter en ligne une version entièrement fonctionnelle d'AntiViral Toolkit Pro via Internet à l'adresse suivante: http://www.kasperskylab.ru/eng/buy/default.asp

Comment se protéger contre le ver "Unicle"?

Microsoft a publié une mise à jour qui élimine la vulnérabilité de sécurité "Scriptlet.Typelib". Nous vous recommandons fortement de visiter http://support.microsoft.com/support/kb/articles/Q240/3/08.ASP et d'installer cette mise à jour.

Si vous n'utilisez aucune application HTML (fichiers HTA), il existe un autre moyen de prévenir l'infection par des virus de ce type (les vers et les virus qui utilisent la vulnérabilité de sécurité "Scriptlet.Typelib"). Vous devez supprimer l'association de fichier pour l'extension .HTA. Pour ce faire, vous devez suivre ces étapes:

1. Double-cliquez sur l'icône "Poste de travail" sur le bureau.
2. Dans la fenêtre apparue choisissez le menu "Affichage" -> "Options …".
3. Dans l'onglet "Types de fichiers" de la zone de liste "Types de fichiers enregistrés", sélectionnez l'élément "HTML Applicaton".
4. Cliquez sur le bouton "Supprimer" et confirmez l'action.
5. Fermez la boîte de dialogue des options.


Lien vers l'original