CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

Virus.VBS.Hard

Classe Virus
Plateforme VBS
Description

Détails techniques

C'est un ver Internet écrit en langage Visual Basic Script (VBS). Il se propage en utilisant MS Outlook Express.

Ce ver se propage par courrier électronique en envoyant des messages infectés provenant d'ordinateurs infectés. Lors de la propagation, le ver utilise MS Outlook Express et s'envoie à toutes les adresses stockées dans le carnet d'adresses Windows. Par conséquent, un ordinateur infecté envoie autant de messages à autant d'adresses conservées dans le carnet d'adresses Windows.

Il fonctionne uniquement sur les ordinateurs sur lesquels Windows Scripting Host (WSH) est installé. Dans Windows 98 et Windows 2000, WHS est installé par défaut.

Le ver arrive à un ordinateur sous la forme d'un message électronique avec le fichier joint "www.symantec.com.vbs" qui est le ver lui-même.

Le message infecté dans la version du ver d'origine contient:

Subject = "FW: Avertissement de Symantec Anti-Virus"
Corps = —– Message original —–
De: [warning@symantec.com]
À: [supervor@av.net]; [security@softtools.com];
[mark_fyston@storess.net]; [directorcut@ufp.com];
[pjeterov@goldenhit.org>; [kim_di_yung@freeland.ch];
[james.heart@macrosoft.com]
Objet: FW: Avertissement de Symantec Anti-Virus

Bonjour,
Il y a un nouveau ver sur le Net.
Ce ver est très rapide et très dangereux!

Symantec l'a remarqué pour la première fois le 04 avril 2001.

Le fichier joint est une description du ver et de la manière dont il se réplique.

Cordialement,
F. Jones
Développeur senior Symantec

Lors de l'activation, le ver crée une fausse page d'informations sur le virus Symantec sur le virus inexistant "VBS.AmericanHistoryX_II@mm" et l'affiche. Ensuite, il crée plusieurs fichiers qui seront utilisés plus tard pour la diffusion.

Le premier fichier est nommé "c: www.symantec_send.vbs" contenant Visual Basic Script qui indique à MS Outlook Express d'envoyer des messages infectés à toutes les adresses du carnet d'adresses Windows.

Le deuxième fichier "c: message.vbs" contient le script Visual Basic qui, le 24 novembre, affiche le message suivant:

Quelques nouvelles choquantes
Ne regarde pas surpris!
Ce n'est qu'un avertissement à propos de votre stupidité
Prends soin!

Ces deux fichiers sont enregistrés par le ver dans le registre du système dans la section autorun. Ainsi, ces scripts prennent le contrôle à chaque démarrage de Windows.

Le ver enregistre également une page d'informations sur le faux virus en tant que page de démarrage d'Internet Explorer.

Pour éviter la propagation en double à partir de la même machine, le ver crée "HKLMSOFTWAREMicrosoftWABOE Done" dans la clé de registre du système et définit sa valeur sur "Hardhead_SatanikChild". De cette façon, il ne se propage pas à partir de la même machine deux fois.


Lien vers l'original