Kaspersky Threats

Classe

Plateforme

Description

Détails techniques

C'est un virus-virus qui se propage via Internet attaché à des e-mails infectés. Le ver lui-même est un fichier Windows PE EXE d'environ 97 Ko de longueur (compressé par UPX, environ 132 Ko lorsqu'il est décompressé), et il est écrit en Visual Basic.

Diffusion

Pour envoyer des messages infectés, le ver utilise MS Outlook et envoie des messages à toutes les adresses trouvées dans le carnet d'adresses Outlook. Les messages infectés apparaissent comme suit:

Le sujet est sélectionné au hasard parmi les variantes suivantes:

Admirateur secret
Quelqu'un t'aime
Romance d'Afar
Coup de foudre
… quand les dormeurs se réveillent et rêvent encore …
Sois à moi ?!
Toujours le vôtre
Joyeuse Saint Valentin
De moi à toi
Ton été éternel ne doit pas s'estomper
Je ne peux exprimer aucun signe plus gentil de l'amour, que ce gentil baiser
La poésie est un écho, demandant une ombre pour danser
O beauté, jusqu'à maintenant je ne t'ai jamais connu!
Geste romantique
Bonne nuit, doux prince, et des vols d'anges te chanter pour ton repos

Le message Corps , suivi d'un "nom d'utilisateur", est sélectionné parmi les variantes suivantes:

Joyeuse Saint Valentin
J'espère que vous aimez la carte que j'ai attachée,
même si vous ne ressentez pas la même chose.

Feelings de février
C'est encore cette période de l'année.
Mais je ne fais que vous séduire une carte.
Joyeuse Saint Valentin
J'espère que vous aimez la carte que j'ai attachée,
même si vous ne ressentez pas la même chose.

salut
Je me sens comme un enfant qui t'envoie cette carte
mais je devais juste le faire.
Joyeuse Saint Valentin
J'espère que vous aimez la carte que j'ai attachée,
même si vous ne ressentez pas la même chose.

… et chaque souffle que j'ai pris,
chaque larme j'ai pleuré,
Chaque étoile que je souhaitais,
Ne semblait rien jusqu'à maintenant.
Joyeuse Saint Valentin
J'espère que vous aimez la carte que j'ai attachée,

Dans cette vie, nous ne pouvons pas faire de grandes choses.
Nous pouvons seulement faire de petites choses avec un bel amour.
Joyeuse Saint Valentin
J'espère que vous aimez la carte que j'ai attachée,
même si vous ne ressentez pas la même chose.

Pièce jointe : ValentineCard.exe

Installation

Le ver s'active à partir d'un courrier électronique infecté uniquement lorsqu'un utilisateur clique sur un fichier joint. Le ver s'installe ensuite dans le système, exécute une routine d'épandage et une charge utile.

Lors de l'installation, le ver se copie dans le répertoire système Windows avec le nom "ValentineCard.exe" et enregistre ce fichier dans la clé d'exécution automatique du registre système:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun 14th =% SystemDir% ValentineCard.exe

où% SystemDir% est le répertoire système Windows.

Charge utile

Une fois installé, le ver écrit une clé de registre "not a first run":

HKLMSoftwareMicrosoftWindowsCurrentVersion Valentine = true

puis fonctionne en fonction de la présence de cette clé. A cause d'un bug, sur n'importe quel run (premier run, second run, …), le ver fait la même chose: il crée "C: evil.jpg", écrit les données du son et l'ouvre. Parce que le fichier a une mauvaise extension (image ".jpg", pas ".wav" son), le système ne parvient pas à l'accepter. Dans le cas où ce fichier est renommé en ".wav", il joue la phrase "Quelqu'un vous aime".

Le ver devrait aussi (mais échoue) créer le fichier "C: 1.wav" et ouvrir sa fenêtre. La fenêtre du programme du ver devrait avoir un titre en mouvement:

Je t'aime !

sur le bouton "A propos", il devrait afficher le message suivant:

Lecteur Flash
Flash Player 4.0
Copywrite (C) 1996-1999 Macromedia, Inc.
http://www.macromedia.com

Le jeudi, le ver devrait (mais échoue) redémarrer Windows.

Lien vers l'original

Découvrez les statistiques de la propagation des menaces dans votre région

Classe	Email-Worm
Plateforme	Win32
Description	Détails techniques C'est un virus-virus qui se propage via Internet attaché à des e-mails infectés. Le ver lui-même est un fichier Windows PE EXE d'environ 97 Ko de longueur (compressé par UPX, environ 132 Ko lorsqu'il est décompressé), et il est écrit en Visual Basic. Diffusion Pour envoyer des messages infectés, le ver utilise MS Outlook et envoie des messages à toutes les adresses trouvées dans le carnet d'adresses Outlook. Les messages infectés apparaissent comme suit: Le sujet est sélectionné au hasard parmi les variantes suivantes: Admirateur secret Quelqu'un t'aime Romance d'Afar Coup de foudre … quand les dormeurs se réveillent et rêvent encore … Sois à moi ?! Toujours le vôtre Joyeuse Saint Valentin De moi à toi Ton été éternel ne doit pas s'estomper Je ne peux exprimer aucun signe plus gentil de l'amour, que ce gentil baiser La poésie est un écho, demandant une ombre pour danser O beauté, jusqu'à maintenant je ne t'ai jamais connu! Geste romantique Bonne nuit, doux prince, et des vols d'anges te chanter pour ton repos Le message Corps , suivi d'un "nom d'utilisateur", est sélectionné parmi les variantes suivantes: Joyeuse Saint Valentin J'espère que vous aimez la carte que j'ai attachée, même si vous ne ressentez pas la même chose. Feelings de février C'est encore cette période de l'année. Mais je ne fais que vous séduire une carte. Joyeuse Saint Valentin J'espère que vous aimez la carte que j'ai attachée, même si vous ne ressentez pas la même chose. salut Je me sens comme un enfant qui t'envoie cette carte mais je devais juste le faire. Joyeuse Saint Valentin J'espère que vous aimez la carte que j'ai attachée, même si vous ne ressentez pas la même chose. … et chaque souffle que j'ai pris, chaque larme j'ai pleuré, Chaque étoile que je souhaitais, Ne semblait rien jusqu'à maintenant. Joyeuse Saint Valentin J'espère que vous aimez la carte que j'ai attachée, Dans cette vie, nous ne pouvons pas faire de grandes choses. Nous pouvons seulement faire de petites choses avec un bel amour. Joyeuse Saint Valentin J'espère que vous aimez la carte que j'ai attachée, même si vous ne ressentez pas la même chose. Pièce jointe : ValentineCard.exe Installation Le ver s'active à partir d'un courrier électronique infecté uniquement lorsqu'un utilisateur clique sur un fichier joint. Le ver s'installe ensuite dans le système, exécute une routine d'épandage et une charge utile. Lors de l'installation, le ver se copie dans le répertoire système Windows avec le nom "ValentineCard.exe" et enregistre ce fichier dans la clé d'exécution automatique du registre système: HKLMSoftwareMicrosoftWindowsCurrentVersionRun 14th =% SystemDir% ValentineCard.exe où% SystemDir% est le répertoire système Windows. Charge utile Une fois installé, le ver écrit une clé de registre "not a first run": HKLMSoftwareMicrosoftWindowsCurrentVersion Valentine = true puis fonctionne en fonction de la présence de cette clé. A cause d'un bug, sur n'importe quel run (premier run, second run, …), le ver fait la même chose: il crée "C: evil.jpg", écrit les données du son et l'ouvre. Parce que le fichier a une mauvaise extension (image ".jpg", pas ".wav" son), le système ne parvient pas à l'accepter. Dans le cas où ce fichier est renommé en ".wav", il joue la phrase "Quelqu'un vous aime". Le ver devrait aussi (mais échoue) créer le fichier "C: 1.wav" et ouvrir sa fenêtre. La fenêtre du programme du ver devrait avoir un titre en mouvement: Je t'aime ! sur le bouton "A propos", il devrait afficher le message suivant: Lecteur Flash Flash Player 4.0 Copywrite (C) 1996-1999 Macromedia, Inc. http://www.macromedia.com Le jeudi, le ver devrait (mais échoue) redémarrer Windows.
	Lien vers l'original
	Découvrez les statistiques de la propagation des menaces dans votre région

Email-Worm.Win32.Valcard

Détails techniques