CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS. Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.
Solutions pour:
Particuliers
Petites entreprises
Moyennes entreprises
Grandes entreprises
Vulnérabilités Menaces
Accueil Menaces Virus Win16

Virus.Win16.RedTeam

Classe
Virus
Plateforme
Win16

Classe pour les parents: VirWare

Les virus et les vers sont des programmes malveillants qui s'auto-répliquent sur des ordinateurs ou via des réseaux informatiques sans que l'utilisateur en soit conscient; chaque copie ultérieure de tels programmes malveillants est également capable de s'autoreproduire. Les programmes malveillants qui se propagent via des réseaux ou infectent des machines distantes lorsque le "propriétaire" (par exemple Backdoors) ou les programmes qui créent plusieurs copies qui ne peuvent pas s'auto-répliquer ne font pas partie de la sous-classe Virus and Worms. La caractéristique principale utilisée pour déterminer si un programme est classé comme un comportement distinct dans la sous-classe Virus and Worms est la manière dont le programme se propage (c'est-à-dire comment le programme malveillant répand des copies de lui-même via des ressources locales ou réseau). en tant que fichiers envoyés en pièces jointes, via un lien vers une ressource Web ou FTP, via un lien envoyé dans un message ICQ ou IRC, via des réseaux de partage de fichiers P2P, etc. Certains vers se propagent sous la forme de paquets réseau; ceux-ci pénètrent directement dans la mémoire de l'ordinateur et le code du ver est alors activé. Worms utilise les techniques suivantes pour pénétrer des ordinateurs distants et lancer des copies d'eux-mêmes: ingénierie sociale (par exemple, un message électronique suggérant que l'utilisateur ouvre un fichier joint), exploitation des erreurs de configuration réseau (par exemple copie sur disque entièrement accessible) failles dans la sécurité du système d'exploitation et des applications. Les virus peuvent être divisés en fonction de la méthode utilisée pour infecter un ordinateur: virus de fichiers virus du secteur de démarrage virus de script virus de virus Tous les programmes de cette sous-classe peuvent avoir des fonctions de Troie supplémentaires. Il convient également de noter que de nombreux vers utilisent plus d'une méthode pour diffuser des copies via des réseaux. Les règles de classification des objets détectés avec des fonctions multiples doivent être utilisées pour classer ces types de vers.

Classe: Virus

Les virus se répliquent sur les ressources de la machine locale. Contrairement aux vers, les virus n'utilisent pas les services réseau pour propager ou pénétrer d'autres ordinateurs. Une copie d'un virus n'atteindra les ordinateurs distants que si l'objet infecté est, pour une raison quelconque non liée à la fonction virale, activé sur un autre ordinateur. Par exemple: lors de l'infection de disques accessibles, un virus pénètre dans un fichier situé sur une ressource réseau un virus se copie sur un périphérique de stockage amovible ou infecte un fichier sur un périphérique amovible un utilisateur envoie un courrier électronique avec une pièce jointe infectée.

Plus d'informations

Plateforme: Win16

No platform description

Description

Détails techniques

Ce virus infecte les fichiers Windows EXE (NewExe) et s'envoie vers Internet en utilisant Eudora e-mail - c'est le premier virus connu qui infecte Windows et se propage via Internet. Pour infecter des fichiers, le virus reste dans la mémoire de Windows, il infecte alors les fichiers NE qui sont exécutés. Pour infecter le courrier électronique Eudora, le virus analyse le format interne de la base courrier et ajoute des messages "infectés". Le virus ne peut se répandre sur Internet que si le système de messagerie Eudora est installé sur l'ordinateur, mais les destinataires des messages infectés peuvent utiliser n'importe quel système de messagerie standard, et pas seulement Eudora.

Bien sûr, le virus n'est pas capable de s'exécuter automatiquement à partir d'un message infecté. Il n'est pas capable d'infecter le système lorsqu'un message infecté est ouvert et lu. Pour propager le virus, la pièce jointe EXE infectée doit être extraite et exécutée. Pour faire exactement cela (pour extraire et exécuter le fichier joint), le texte du message convainc l'utilisateur.

Le virus n'a pas été trouvé dans la nature, mais être libéré peut apparaître comme un réel danger pour le réseau informatique mondial parce que se propager utilise le système d'exploitation le plus populaire (Windows) et l'un des systèmes de messagerie les plus populaires (Eudora ).

La longueur du code et des données du virus est de 4766 octets. Le virus a été nommé d'après les chaînes de texte présentes dans le corps du virus (elles sont cryptées dans les fichiers infectés): 

<< - RED TEAM - >> (C) Le Soul Manager.Fabriqué en Australie - 06.97.Donc, donc, Herr Kurtzhals - Est-ce que F / Win est capable de suivre The Red Team?

Infecter le fichier EXE

Tout en infectant les fichiers NewEXE, le virus ne crée pas de nouveau segment - il calcule l'adresse du segment de code, déplace le reste du fichier et s'écrit dans cette cavité. Le virus augmente la taille du segment de code et reste par conséquent comme une partie du code du programme légal. Le virus corrige également les champs nécessaires dans les tables d'en-tête et de relocalisation NE. Le virus modifie alors l'adresse initiale du point d'entrée, ou corrige les adresses des routines du système dans le cas de KRNL286 / 386.EXE.

Lorsqu'un fichier infecté est exécuté dans un environnement non infecté, le virus prend le contrôle et recherche le module Win16 Kernel (KRNL286.EXE ou KRNL386.EXE). Lorsque ce fichier est localisé, le virus s'ouvre et l'infecte. Le virus ne modifie pas l'adresse du point d'entrée, il change les adresses des routines WINEXEC ou INITTASK à la place. Dans le cas de Windows 3.xx le virus définit la nouvelle adresse de la routine WINEXEC, dans le cas de Windows95 / NT, le virus fait de même avec la routine INITTASK (parce que Windows95 / NT n'appelle pas WINEXEC).

Pour séparer les modules KRNL? 86.EXE (Windows 3.xx ou Windows95 / NT) le virus utilise le nom si exporté CALLPROC32W fonction, il présente uniquement en Windows 95 / NT 32 bits.

Le virus renvoie ensuite le contrôle au programme hôte et n'effectue aucune autre action. En conséquence, étant exécuté pour la première fois le virus ne laisse aucun code dans la mémoire du système - il infecte seulement le module Kernel16 de Windows.

Going résident de la mémoire

Lorsque Windows est chargé avec le noyau infecté, le virus reste dans la mémoire système dans le cadre du noyau - aucune action spéciale n'est nécessaire pour le faire car le code du virus est placé dans le même segment de code que les routines du noyau d'origine. Le virus n'effectue pas non plus d'action pour accrocher les événements système car ils étaient déjà accrochés alors que l'infection - adresse de WINEXEC ou INITTASK pointe déjà vers le gestionnaire de virus.

Sous Windows 3.xx, le virus croise WINEXEC, de sorte qu'il infecte les fichiers qui sont exécutés. Le virus le fait d'une manière assez intelligente - il passe immédiatement le contrôle au gestionnaire WINEXEC d'origine et infecte ensuite un fichier en arrière-plan, c'est-à-dire qu'il n'y a pas de délai lorsque les applications sont exécutées dans un environnement infecté. Cela est très important pour le virus, car Windows 3.xx est généralement installé sur un ancien PC lent, et les délais d'exécution peuvent avertir un utilisateur.

Sous Windows95 / NT, le virus se bloque INITTASK, de sorte qu'il intercepte le contrôle lorsque les programmes s'inscrivent dans le système. Le virus puis avec l'aide de la fonction GetExePtr obtient des Handles de module pour toutes les applications NE qui sont actives et les infecte.

Infecting E-mail

Lors de l'infection d'un fichier avec une probabilité 1/8 (en fonction de la clé utilisée pour chiffrer les chaînes de texte), le virus modifie son code afin que ce fichier infecté active une routine qui transfère les messages électroniques infectés vers la boîte d'envoi Eudora. Lorsqu'un tel fichier est exécuté dans le répertoire où sont placées les bases de données Eudora, le virus ouvre les fichiers de données Eudora: NNDBASE.TOC, OUT.TOC, OUT.MBX. Le premier fichier ("Nick names database") est utilisé par les virus pour obtenir les noms des destinataires auxquels le virus enverra un message infecté. Le message infecté est placé dans OUT.MBX (base de données Outbox) et les références nécessaires sont placées dans le fichier OUT.TOC.

Le message lui-même a un sujet "Red Team", contient le texte et le fichier EXE joint. Le texte ressemble à ceci: 

-------------------------------------------------- --------------------Hiya!Je pensais juste vous avertir d'un nouveau virus de courriel destructeur.Voici quelques informations:> Le virus "Red Team" est un nouveau virus informatique complexe qui se propage via> le système d'exploitation Microsoft Windows et Internet E-Mail. Bien que> ce n'est pas le premier virus à se propager par E-Mail (c'était "Good Times"),> le virus de l'équipe rouge est inégalé dans ses capacités destructrices.> En outre, le virus est extrêmement commun - il a déjà été> signalé dans une grande partie de l'Europe occidentale, aux États-Unis, en Russie, en Australie et> Japon. En bref, partout.>> Chez QUEST, nous avons passé plusieurs semaines à analyser ce virus et sommes fiers> d'annoncer que nous avons enfin un remède! Le programme, nommé "K-RTEAM"> (Kill Red Team), peut être exécuté dans n'importe quel environnement Microsoft Windows, et> détectera de manière fiable (et supprimera si nécessaire) le virus Red Team de> vos tampons système.>> -> Julia Blumin> QUALCOMM Enterprise Software Technologies> World Wide Web: http://www.qualcomm.comLa raison pour laquelle je pensais que je devrais vous avertir, c'est que nous avons récemment eu une course dansavec cette bête. Heureusement, nous avons réussi à obtenir une copie de l'excellentProgramme "K-RTEAM" avant que la destruction ne commence vraiment. Au cas oùvous devriez subir le même malheur, j'ai inclus ce programme pourvous aussi.Au revoir!PS Assurez-vous d'avertir tous vos amis de cette nouvelle menace!-------------------------------------------------- --------------------
Ce texte dans le corps du virus est compressé, ainsi le virus le décompresse avant de l'enregistrer dans la boîte d'envoi d'Eudora. Le fichier EXE attaché a en-tête NE et est nommé comme K-RTEAM.EXE ("Kill Red Team"), il a 6351 octets de longueur. C'est un programme infecté de ne rien faire (le virus le crée sur le lecteur C: C: K-RTEAM.EXE) qui ne propage le virus que sur l'ordinateur. À l'en-tête et à la fin de ce fichier, il y a les chaînes de texte: 
K-RTEAM - Red Team Anti-VirusK-RTEAMRed Team Virus trouvé!Supprimer le virus?Virus enlevé!Impossible de supprimer le virus!
Le virus n'envoie pas de messages deux fois à partir du même ordinateur infecté. Pour ce faire, le virus crée le fichier RTBASE.TOC lors de l'envoi de messages infectés. La prochaine fois que le virus recherchera ce fichier et terminera la routine d'infection de courrier électronique, si ce fichier se présente dans le répertoire.

En laboratoire

Le virus se répliquait sous Windows 3.xx et n'avait aucun effet secondaire lors des expériences en laboratoire - tous les fichiers étaient infectés correctement, les programmes n'étaient pas corrompus et Windows n'affichait aucun message d'avertissement / d'erreur.

Le virus a également stocké son compte-gouttes dans la boîte d'envoi Eudora sans problème. Les messages infectés ont ensuite été envoyés via Internet et correctement reçus.

Sous Windows95 / NT le virus a un problème - il ne peut pas infecter KRNL386.EXE et par conséquent ne peut pas s'installer lui-même résident en mémoire. Le bug est assez stupide - le virus réserve Word (DW) pour la variable "NE Header Offset", mais l'utilise comme DoubleWord (DD). Le deuxième mot de ce DoubleWord est l'indicateur de version Windows: 0 si Windows3.xx, FFFFh si Windows95 / NT. Donc, sous Windows95 / NT, le virus obtient une valeur erronée de cette variable.

Malgré cela, les fichiers qui ont été infectés sous Windows 3.xx fonctionnent sous Windows 95 / NT sans aucun problème et peuvent infecter la base de données Eudora ainsi que sous Windows 3.xx. En outre, ce bug stupide peut être facilement corrigé et une version compatible Windows95 pourrait être publiée par l'auteur du virus.

En savoir plus

Découvrez les statistiques de la propagation des vulnérabilités dans votre région statistics.securelist.com

Vous avez trouvé une inexactitude dans la description de cette vulnérabilité ? Faites-le nous savoir !
Kaspersky!
Votre vie en ligne mérite une protection complète!
Apprendre encore plus
Kaspersky IT Security Calculator:
Calculez le profil de sécurité de votre entreprise
Apprendre encore plus
Related articles
24 April 2024
Securelist
Assessing the Y, and How, of the XZ Utils incident
22 April 2024
Securelist
ToddyCat is making holes in your infrastructure
18 April 2024
Securelist
DuneQuixote campaign targets Middle Eastern entities with “CR4T” malware
17 April 2024
Securelist
SoumniBot: the new Android banker’s unique techniques
15 April 2024
Securelist
Using the LockBit builder to generate targeted ransomware
12 April 2024
Securelist
XZ backdoor story – Initial analysis
Vous avez trouvé une inexactitude dans la description de cette vulnérabilité ?
Si vous avez découvert une nouvelle menace ou vulnérabilité, veuillez nous en informer par e-mail :
newvirus@kaspersky.com
Vous avez découvert une nouvelle menace ou vulnérabilité ?
Si vous avez découvert une nouvelle menace ou vulnérabilité, veuillez nous en informer par e-mail :
newvirus@kaspersky.com
Solutions pour
Particuliers
Petites entreprises
Moyennes entreprises
Grandes entreprises
Select language
Sorting
Menace
Confirm changes?
Your message has been sent successfully.