CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

Worm.Win32.Shorm

Classe Worm
Plateforme Win32
Description

Détails techniques

C'est un ver réseau qui se propage sur les réseaux locaux et mondiaux. Pour se propager, le ver se connecte aux ordinateurs distants, et si le disque est partagé pour un accès complet, le ver s'y copie dans le répertoire de démarrage de Windows (s'il existe).

Le ver a également la capacité de voler le mot de passe. Il obtient des informations RAS (mame utilisateur, numéros de téléphone, mots de passe), ainsi que des mots de passe mis en cache et les envoie à deux adresses e-mail krenx@mail.ru et winam@mail.ru.

Le ver lui-même est une application Win32 (fichier PE EXE) écrite en Delphi et compressée avec l'utilitaire de compression ASpach PE EXE. Le corps du ver contient le texte suivant:

SharedWorm v1.2

Lorsque le ver est exécuté, il se copie dans le répertoire système Windows en utilisant trois noms: MSTASK.EXE, MSGSRV16.EXE, TAPI32.EXE et enregistre ces fichiers dans les clés d'exécution automatique du Registre suivantes:

HKCU SOFTWAREMicrosoftWindowsCurrentVersionRun
HKLM SOFTWAREMicrosoftWindowsCurrentVersionRun
HKLM SOFTWAREMicrosoftWindowsCurrentVersionRunServices

Ainsi, le ver est exécuté chaque fois que Windows est redémarré.

Le ver se connecte ensuite à la page Web "http://krenx.newmail.ru/ip.txt", et lit son contenu. Cette page contient une liste d'adresses IP de sous-réseau. Il y a trois numéros dans l'adresse au lieu de quatre numéros d'adresse IP, par exemple:

194.135.175.
213.24.179.
195.209.191.
213.59.57.

Le ver sélectionne aléatoirement un de ces "masques" de sous-réseau et tente de se connecter à chaque machine du sous-réseau. Si la connexion réussit, le ver tente d'accéder aux fichiers du disque dur de l'ordinateur, puis localise le nom du répertoire Windows sur cet ordinateur et s'y copie avec le nom suivant:

Démarrer MenuProgramsStartUpAVPMonitor.exe

Ainsi, la copie du ver est placée dans le répertoire Windows auti-start et est activée lors du prochain redémarrage de Windows.

Le ver est également capable de se mettre à jour à partir d'un site Internet. Il obtient le fichier Internet "http://krenx.newmail.ru/win.exe", le copie sur la machine locale et l'exécute.


Lien vers l'original