Kaspersky Threats

Classe

Plateforme

Description

Détails techniques

C'est un ver écrit en langage Visual Basic Script (VBS). Ce ver se propage via les canaux de courrier électronique et IRC (Internet Relay Chat).

En cours d'exécution, le script du ver crée un nouveau fichier de script "RUNDLL.VBS" dans le dossier système de Windows et modifie le registre du système pour exécuter ce script à chaque démarrage de Windows.

Ensuite, le ver affiche la boîte de message suivante:



Cela va ajouter un raccourci pour libérer des liens XXX sur votre bureau. Veux-tu

continuer?

Si un utilisateur répond «OUI», le ver crée un raccourci sur le bureau avec l'URL du site XXX.

Ensuite, le ver énumère tous les lecteurs réseau sur un ordinateur et copie le script infecté dans le répertoire racine de chaque lecteur réseau.

Pour se propager via e-mail, le ver utilise MS Outlook. La routine d'étalement du ver est très semblable à une telle routine dans le virus "Melissa" , et fonctionne de la même manière. Le message avec le script de ver infecté contient un script de ver attaché (LINKS.VBS).



L'objet du message: Cochez cette case

Le corps du message: Amusez-vous avec ces liens.

Le script "RUNDLL.VBS", lors de l'exécution crée, un autre fichier de script "LINKS.VBS" dans le répertoire Windows (LINKS.VBS est le même script que décrit ci-dessus). Ensuite, il analyse tous les lecteurs fixes pour les dossiers "MIRC", "PIRCH98", "Program Files" (le dossier où la plupart des programmes Windows sont généralement installés) et tous leurs sous-dossiers, et recherche "MIRC32.EXE" ou "PIRCH98". EXE "programmes (clients IRC populaires). Si l'un de ces programmes est trouvé, le ver crée un fichier script (SCRIPT.INI pour MIRC ou EVENTS.INI pour PIRCH) qui contient des commandes pour envoyer un "LINKS.VBS" infecté à d'autres utilisateurs IRC quand ils rejoignent le même canal IRC auquel un ordinateur infecté est connecté.

Lien vers l'original

Découvrez les statistiques de la propagation des menaces dans votre région

Classe	Virus
Plateforme	VBS
Description	Détails techniques C'est un ver écrit en langage Visual Basic Script (VBS). Ce ver se propage via les canaux de courrier électronique et IRC (Internet Relay Chat). En cours d'exécution, le script du ver crée un nouveau fichier de script "RUNDLL.VBS" dans le dossier système de Windows et modifie le registre du système pour exécuter ce script à chaque démarrage de Windows. Ensuite, le ver affiche la boîte de message suivante: Cela va ajouter un raccourci pour libérer des liens XXX sur votre bureau. Veux-tu continuer? Si un utilisateur répond «OUI», le ver crée un raccourci sur le bureau avec l'URL du site XXX. Ensuite, le ver énumère tous les lecteurs réseau sur un ordinateur et copie le script infecté dans le répertoire racine de chaque lecteur réseau. Pour se propager via e-mail, le ver utilise MS Outlook. La routine d'étalement du ver est très semblable à une telle routine dans le virus "Melissa" , et fonctionne de la même manière. Le message avec le script de ver infecté contient un script de ver attaché (LINKS.VBS). L'objet du message: Cochez cette case Le corps du message: Amusez-vous avec ces liens. Le script "RUNDLL.VBS", lors de l'exécution crée, un autre fichier de script "LINKS.VBS" dans le répertoire Windows (LINKS.VBS est le même script que décrit ci-dessus). Ensuite, il analyse tous les lecteurs fixes pour les dossiers "MIRC", "PIRCH98", "Program Files" (le dossier où la plupart des programmes Windows sont généralement installés) et tous leurs sous-dossiers, et recherche "MIRC32.EXE" ou "PIRCH98". EXE "programmes (clients IRC populaires). Si l'un de ces programmes est trouvé, le ver crée un fichier script (SCRIPT.INI pour MIRC ou EVENTS.INI pour PIRCH) qui contient des commandes pour envoyer un "LINKS.VBS" infecté à d'autres utilisateurs IRC quand ils rejoignent le même canal IRC auquel un ordinateur infecté est connecté.
	Lien vers l'original
	Découvrez les statistiques de la propagation des menaces dans votre région

Virus.VBS.Freelink

Détails techniques