CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.
Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.
Classe | Worm |
Plateforme | Win32 |
Description |
Détails techniquesC'est un ver-virus Win32 très dangereux. Le virus lui-même est un fichier Windows PE EXE d'environ 23 Ko de longueur (compressé par UPX, avec une taille décompressée d'environ 52 Ko), et écrit en Microsoft Visual C ++. Il se propage via le réseau local et infecte les applications Win32 EXE (fichiers PE EXE). En infectant, le virus déplace un fichier commençant à la fin du fichier, puis écrit lui-même au début du fichier. Par conséquent, lorsqu'un fichier infecté est démarré, le code du virus prend le contrôle. Le virus utilise des appels spécifiques à Win9x et ne peut fonctionner que sur des machines Win9x. En raison de sa «nature» de réseau, le virus peut infecter des fichiers sur des machines NT, mais il ne peut pas être exécuté sur ces machines. Routines de virus Lorsqu'un fichier infecté est exécuté, le virus obtient son code à partir d'un fichier hôte infecté et le dépose dans le répertoire système Windows avec le nom DDRAW32.DLL (ce fichier est une application Win32 PE avec un code viral «pur»). Le virus génère ensuite ce fichier DLL "pur code", désinfecte un fichier hôte et le génère, renvoyant le contrôle au programme hôte. Si une erreur survient ci-dessus, le virus affiche un message "Erreur fatale". Lorsqu'il est exécuté, le fichier de virus DDRAW32.DLL active les routines de virus principales. Ils sont quatre:
Furtif En plus de sa routine furtive de registre, le virus cache également son fichier DDRAW32.DLL. Pour ce faire, il accroche les fonctions de recherche de processus de mémoire, et renvoie un message «sans processus» dans le cas où un processus infecté est recherché. Autre Le virus modifie les clés de registre suivantes:
Le virus contient également la chaîne de texte:
|
Lien vers l'original |
|
Découvrez les statistiques de la propagation des menaces dans votre région |