CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

Email-Worm.Win32.Vote

Classe Email-Worm
Plateforme Win32
Description

Détails techniques

Ce ver se propage comme une pièce jointe à des messages infectés. Une fois exécuté, le ver envoie des messages infectés à toutes les adresses stockées dans le carnet d'adresses MS Outlook, puis il écrase tous les fichiers HTML sur les lecteurs de disque locaux. Lorsque Windows est redémarré, le ver tente de supprimer tous les fichiers du dossier Windows et redémarre la machine victime.

Le ver arrive en tant que pièce jointe exécutable. La pièce jointe contient le ver lui-même. Les messages infectés contiennent les éléments suivants:

Le ver n'est activé que si l'utilisateur le lance manuellement en double-cliquant sur la pièce jointe.

Lorsqu'il est exécuté, le ver envoie des messages infectés à toutes les adresses stockées dans le carnet d'adresses Outlook. Ensuite, il tente d'ouvrir deux navigateurs Internet sur des sites qui ont été fermés. En outre, il remplace la page de démarrage Internet Explorer par l'une des siennes. Suite à cela, le ver supprime deux fichiers VBS différents.

Le premier est nommé "MixDaLaL.vbs" que le ver crée et s'exécute immédiatement dans le dossier Windows. Ce fichier a un programme de script qui recherche les fichiers avec des extensions HTM et HTML sur tous les disques durs amovibles et locaux, et les écrase avec un court texte:

AmeRiCa … quelques jours WiLL vous montrer ce que nous pouvons faire !!! C'est notre tour >>> ZaCkEr est tellement désolé pour toi

Le deuxième fichier VSB le ver tombe dans le dossier système Windows avec le nom "ZaCker.vbs" et l'enregistre dans la section de Registre auto-run. Cela signifie que le fichier sera automatiquement exécuté lors du prochain démarrage de Windows. Lors de son exécution, il tente de supprimer tous les fichiers dans le répertoire Windows, écrase AUTOEXEC.BAT avec une commande détruisant toutes les données sur le lecteur C:, puis il affiche le message suivant:

Le ver redémarre finalement l'ordinateur. Par conséquent, le système peut être rendu inamovible ou toutes les données peuvent être détruites.


Lien vers l'original