CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

Virus.Multi.Angela

Classe Virus
Plateforme Multi
Description

Détails techniques

Ceci est un virus multipartite infectant le secteur MBR du disque dur, le secteur de démarrage des lecteurs de disquette, le fichier DOS EXE ainsi que la propagation via les canaux IRC en infectant le client mIRC, ainsi que l'envoi lui-même en utilisant MS Outlook.

Le virus peut apparaître sur un ordinateur sur une disquette infectée, sous la forme d'un fichier EXE DOS infecté ou en tant que pièce jointe infectée dans un message électronique.

Le virus n'a pas de charge utile et ne se manifeste d'aucune façon sauf un – il supprime le fichier:

C: WINDOWSSYSTEMIOSUBSYSHSFLOP.PDR

Le virus doit supprimer ce fichier pour forcer Windows à utiliser les secteurs de disquettes en utilisant une ancienne méthode INT 13h (ceci est nécessaire pour que le virus puisse exécuter ses routines d'infection et de furtivité, voir ci-dessous).

Démarrer à partir d'un disque infecté

Lors du chargement à partir d'un disque infecté, le virus croise INT 13h (accès au disque) et INT 1Ch (timer). En utilisant un hook de minuteur, le virus attend jusqu'à ce qu'un système démarre, puis croise INT 21h (fonctions DOS) et infecte les fichiers EXE DOS qui sont exécutés. En accrochant INT 13h, le virus accède aux disquettes et infecte leurs secteurs de démarrage. Le virus réalise également {stealth: Stealth} une fonction lors de l'accès aux secteurs de disque infectés.

Fichier DOS EXE infecté exécuté

Lors de l'exécution à partir d'un fichier EXE DOS infecté, le virus infecte le secteur MBR du disque dur, crée et enregistre son dropper DOS EXE, crée un programme de script VBS à diffuser avec e-mail et crée un script mIRC à envoyer aux canaux IRC .

Le compte-gouttes de virus a le nom ANGELA.EXE et est créé dans le répertoire C: WINDOWSSYSTEM (si Windows est installé dans un autre répertoire, le virus ne peut pas se propager à l'IRC et à l'e-mail). Ce fichier est enregistré pour être exécuté à chaque redémarrage dans le fichier C: AUTOEXEC.BAT. Le virus écrit une commande là pour exécuter ce fichier à chaque redémarrage, et ajoute des commentaires à ce fichier:

@ÉCHO OFF
c: windowssystemangela.exe
REM – NE PAS ENLEVER!

Le compte-gouttes de virus fait la même chose que le fait le virus dans le fichier EXE DOS infecté; Par exemple, si l'un des composants du virus (script VBS ou mIRC) est supprimé, le virus le recréera au prochain redémarrage.

Envoi postal

Le virus crée le fichier ANGELA.VBS dans le répertoire de démarrage de Windows et, par conséquent, ce script est activé à chaque démarrage de Windows. Le programme dans l'accès au script MS Outlook obtient les enregistrements du carnet d'adresses et envoie une copie de virus (le compte-gouttes ANGELA.EXE) aux 20 premières adresses qui s'y trouvent. Le message a:

Sujet: Finalement trouvé!
Corps: Voici les fichiers que vous m'avez demandés …
Nom de la pièce jointe: angela.exe

Le script supprime alors son fichier VBS, et il n'y a plus de messages infectés envoyés pendant la même session de Windows, mais lors du redémarrage de l'ordinateur, le compte-gouttes ANGELA.EXE sera activé depuis AUTOEXEC.BAT, et il va recréer le VBS. routage postal.

Infecter les canaux IRC

Le virus crée le fichier SCRIPT.INI dans le répertoire C: MIRC. Ce script envoie un dropper ANGELA.EXE à tous les utilisateurs qui rejoignent le canal IRC infecté.


Lien vers l'original