CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

Virus.VBS.Freelink

Classe Virus
Plateforme VBS
Description

Détails techniques

C'est un ver écrit en langage Visual Basic Script (VBS). Ce ver se propage via les canaux de courrier électronique et IRC (Internet Relay Chat).

En cours d'exécution, le script du ver crée un nouveau fichier de script "RUNDLL.VBS" dans le dossier système de Windows et modifie le registre du système pour exécuter ce script à chaque démarrage de Windows.

Ensuite, le ver affiche la boîte de message suivante:


Cela va ajouter un raccourci pour libérer des liens XXX sur votre bureau. Veux-tu
continuer?

Si un utilisateur répond «OUI», le ver crée un raccourci sur le bureau avec l'URL du site XXX.

Ensuite, le ver énumère tous les lecteurs réseau sur un ordinateur et copie le script infecté dans le répertoire racine de chaque lecteur réseau.

Pour se propager via e-mail, le ver utilise MS Outlook. La routine d'étalement du ver est très semblable à une telle routine dans le virus "Melissa" , et fonctionne de la même manière. Le message avec le script de ver infecté contient un script de ver attaché (LINKS.VBS).


L'objet du message: Cochez cette case
Le corps du message: Amusez-vous avec ces liens.

Le script "RUNDLL.VBS", lors de l'exécution crée, un autre fichier de script "LINKS.VBS" dans le répertoire Windows (LINKS.VBS est le même script que décrit ci-dessus). Ensuite, il analyse tous les lecteurs fixes pour les dossiers "MIRC", "PIRCH98", "Program Files" (le dossier où la plupart des programmes Windows sont généralement installés) et tous leurs sous-dossiers, et recherche "MIRC32.EXE" ou "PIRCH98". EXE "programmes (clients IRC populaires). Si l'un de ces programmes est trouvé, le ver crée un fichier script (SCRIPT.INI pour MIRC ou EVENTS.INI pour PIRCH) qui contient des commandes pour envoyer un "LINKS.VBS" infecté à d'autres utilisateurs IRC quand ils rejoignent le même canal IRC auquel un ordinateur infecté est connecté.


Lien vers l'original