CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

IRC-Worm.MSWord.Anumps

Classe IRC-Worm
Plateforme MSWord
Description

Détails techniques

Ce ver se propage via les canaux IRC et infecte les documents MS Word. Le virus lui-même est un document Word contenant une macro appelée Mumps.

Installation

Une fois ouvert, le fichier:

  • essayez de désactiver le menu Sécurité dans le menu Macro
  • désactiver l'interdiction d'activer des macros dans le registre du système Windows
  • créer un fichier nommé Mumps.drv dans le répertoire C: Windows et écrit le code de la macro dans ce fichier. Ce fichier est ensuite utilisé pour infecter tous les documents Word ouverts
  • enregistrez le document actif sur le disque dur sous les noms suivants:
  •  C: WindowsFAQ.doc
     C: Program FilesMicrosoft OfficeOfficeSTARTUPMumps.dot 
  • commence la propagation via IRC.

Propagation via IRC

Le ver modifie un fichier nommé fichier script.ini. Cela signifie que le fichier C: WindowsFAQ.doc sera automatiquement envoyé à tous les utilisateurs du canal utilisé par l'ordinateur infecté.

Signes d'infection

Lorsque l'utilisateur essaie d'ouvrir le menu HelpAbout, le ver modifie la couleur d'arrière-plan du document en bleu foncé. Les lettres apparaîtront en blanc. Il ouvre également notepad.exe affichant le texte suivant:

 "Windows a peu de ressources mémoire. Veuillez redémarrer votre Windows ....." 

Si l'utilisateur essaie d'imprimer le document en cours et que l'horloge système affiche 59 secondes, une boîte de message contenant le texte suivant s'affiche:

 "Votre pilote d'imprimante n'est pas compatible avec Windows. Veuillez installer un autre pilote d'imprimante." 

Si l'utilisateur essaie d'afficher le code des macros ou ouvre le menu ToolsMacro, une boîte de message avec le texte suivant s'affichera:

 "Il y a un problème avec cette fonction ..." 

Autre

Le ver tente d'enregistrer C: WindowsFAQ.doc dans le registre système en tant que signature par défaut pour Microsoft Outlook 5.0. Le fichier sera ensuite automatiquement ajouté à tous les messages sortants.


Lien vers l'original