CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

Net-Worm.Win32.IISWorm

Classe Net-Worm
Plateforme Win32
Description

Détails techniques

C'est le premier ver connu qui a l'intention de cibler des sites Web en infectant les serveurs d'information Internet (ISS). Le ver réalise sa méthode de propagation d'un site Web à d'autres sites Web en envoyant et en exécutant son fichier EXE. Le nom du fichier de ver est constant – IISWORM.EXE.

Le ver infecte uniquement les machines avec un package IIS installé et le contenu du site Web. L'application de ver en cours d'exécution sur une telle machine localise et infecte les sites Web distants (machines distantes avec le paquet IIS installé): elle les saisit, et en utilisant une astuce, envoie sa copie là-bas, et génère cette copie. Par conséquent, le ver infecte tous les serveurs Web accessibles à partir de la machine infectée, et d'autres serveurs infectés propagent la copie de ver, etc.

Une méthode d'infection similaire a été utilisée par le fameux "virus Morris" ("ver Internet") qui a frappé les réseaux américains en 1988. Ce ver a infecté plusieurs milliers de machines et paralysé de nombreux réseaux en raison des copies illimitées envoyées. Heureusement, le "IISWorm" a un bug mortel et ne peut pas répéter cette histoire. Le ver semble être capable d'étendre sa copie à la première machine IIS, mais ne parvient pas à se propager plus loin.

Le code de ver ne contient que des routines d'étalement et non des routines de déclenchement. Le ver ne se manifeste d'aucune façon.

Détails

Le ver lui-même est une application Win32 d'environ 80 Ko, écrite en Borland C ++. Il est exécuté en tant qu'application Windows standard, ouvre une connexion et utilise un format de paquets HTTP pour se propager.

Pour localiser les serveurs victimes, le ver recherche les adresses de sites Web dans tous les fichiers * .HTM * des répertoires INetpub:

wwwroot
www racine
inetpubwwwroot
inetpubwww root
websharewwwroot

En utilisant les adresses de sites Web, le ver les connecte et envoie un paquet de bombes là-bas. Ce paquet exploite une vulnérabilité dans le logiciel IIS – le paquet est construit de sorte que ses données chevauchent un tampon de données sur un IIS distant, et un bloc du paquet est exécuté en tant que code (sur un IIS distant). Ce morceau de code ouvre une connexion à sa machine "parente", obtient la copie complète du ver (le fichier IISWORM.EXE), le crée sur un disque et génère des spawns. Par conséquent, la machine IIS distante est infectée et le ver y est actif et continue de s'étendre.

Au cours des tests en laboratoire, le code du ver comportait des erreurs qui empêchaient le ver de se propager. Le ver semble également dépendre des versions IIS et WinNT ServicePack.


Lien vers l'original