CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

Email-Worm.Win32.Vybab

Classe Email-Worm
Plateforme Win32
Description

Détails techniques

Ce ver se propage via Internet en tant que pièce jointe à des messages infectés. Il peut également infecter des fichiers EXE.

C'est un fichier PE EXE écrit en Borland Delphi et d'une taille d'environ 140 KB.

Installation

Lors de son installation sur le système, le ver crée un fichier nommé 123.txt dans le répertoire Windows. Ce fichier contient la chaîne de texte suivante:

 bébév; fait de Ran 

Il crée également des fichiers dans le répertoire racine et dans le répertoire Windows. Les noms de ces fichiers sont créés à partir de trois caractères aléatoires et de l'une des extensions suivantes:

 chauve souris
EXE
htm
rar
doc
xls 

Ces fichiers ne contiennent pas le corps du ver.

Le ver se copie dans un fichier temporaire nommé seeyou.rar dans le répertoire C: root.

Il crée également un fichier nommé echo.vbs dans le répertoire temporaire Windows. Ce fichier contient le script qui permet au ver de se propager par courrier électronique.

Propagation par email

Chaque fois que le ver ou l'un des fichiers infectés est lancé, le ver s'envoie à toutes les adresses du carnet d'adresses MS Outlook. Les e-mails infectés ont les caractéristiques suivantes:

Entête de message:

 Microsoft Pack3, o) 

Texte du message:

 Salut:
C'est le centre du serveur client Microsoft
Vérifie ça! 

Infecter les fichiers EXE

Lorsque le ver est lancé pour la première fois, il infecte les fichiers EXE situés dans le répertoire Program Files et dans le répertoire dans lequel le ver a été lancé. Il écrit lui-même au début de ces fichiers.

Après cela, le ver recherche tous les répertoires sur tous les lecteurs accessibles et infecte tous les fichiers EXE trouvés.

Lorsqu'un fichier infecté est lancé, le virus se copie dans le répertoire racine de chaque lecteur disponible et s'envoie par e-mail. Le fichier non infecté d'origine est enregistré dans le répertoire temporaire Windows et rétablit le contrôle une fois que le ver a terminé le processus d'infection.


Lien vers l'original