CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

Email-Worm.Win32.Wargam

Classe Email-Worm
Plateforme Win32
Description

Détails techniques

C'est un virus-virus qui se propage via Internet attaché à des e-mails infectés. Le ver lui-même est un fichier Windows PE EXE d'environ 77 Ko (chiffré par l'utilitaire de protection des fichiers ASProtect EXE), et écrit en Borland C ++.

Les messages infectés ont l'une des trois variantes suivantes du fichier Subject / Body / Attached:

Objet : Mail à% RecipientEmail%
Corps : je vous envoie ce patch.
Il corrige un bug dans Internet Explorer et Outlook.
Pièce jointe : patch.exe

ou

ou

Le ver s'active à partir d'un courrier électronique infecté uniquement lorsqu'un utilisateur clique sur un fichier joint. Le ver s'installe ensuite dans le système, exécute sa routine d'épandage et sa charge utile.

Installation

Pendant l'installation, le ver se copie deux fois dans le répertoire système Windows avec le nom "article.doc.exe" et avec un nom aléatoire ".exe" (comme WVUUQ.EXE), puis enregistre le dernier fichier dans:

sous Win9x: fichier WIN.INI, section [windows], commande "run ="
sous WinNT: registre système Run = key.

Le ver crée également une clé de registre supplémentaire:

HKLMSoftwareMicrosoftWindowsCurrentVersionUninstallWarGames Worm
DisplayName = Désinstaller Wargames
UninstallString = souris rundll32, désactiver

Le ver recherche également plusieurs programmes et tente de mettre fin à leurs processus. Dans cette liste il y a des programmes anti-virus, ainsi que quelques virus wildspread:

AVP32.EXE
AVPCC.EXE
AVPM.EXE
WFINDV32.EXE
F-AGNT95.EXE
NAVAPW32.EXE
NAVW32.EXE
NMAIN.EXE
PAVSCHED.EXE
ZONEALARM.EXE
KERN32.EXE
SETUP.EXE
RUNDLLW32.EXE
GONER.SCR
LOAD.EXE
INETD.EXE
FILES32.VXD
SCAM32.EXE
GDI32.EXE
_SETUP.EXE
EXPLORE.EXE
ZIPPED_FILES.EXE

Diffusion

Pour envoyer des messages infectés, le ver utilise trois manières différentes (et envoie des messages de trois types différents – voir ci-dessus).

Tout d'abord, le ver scanne les fichiers * .HT *, * .DOC et * .XLS dans le répertoire Windows des répertoires Personnel, Bureau, Favoris et Internet Cache d'un utilisateur, y recherche les adresses e-mail et envoie des messages infectés. adresses.

Ensuite, le virus crée le fichier "wargames.vbs" dans le répertoire Windows, y écrit un script VBS et l'exécute. Les scripts envoient des messages infectés à toutes les adresses du carnet d'adresses MS Outlook.

À la fin, le ver, en utilisant les fonctions Windows MAPI, se connecte à la boîte e-mail entrante et "répond" à tous les messages à partir de là.


Lien vers l'original