CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS. Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.
Classe
Net-Worm
Plateforme
Win32

Classe pour les parents: VirWare

Les virus et les vers sont des programmes malveillants qui s'auto-répliquent sur des ordinateurs ou via des réseaux informatiques sans que l'utilisateur en soit conscient; chaque copie ultérieure de tels programmes malveillants est également capable de s'autoreproduire. Les programmes malveillants qui se propagent via des réseaux ou infectent des machines distantes lorsque le "propriétaire" (par exemple Backdoors) ou les programmes qui créent plusieurs copies qui ne peuvent pas s'auto-répliquer ne font pas partie de la sous-classe Virus and Worms. La caractéristique principale utilisée pour déterminer si un programme est classé comme un comportement distinct dans la sous-classe Virus and Worms est la manière dont le programme se propage (c'est-à-dire comment le programme malveillant répand des copies de lui-même via des ressources locales ou réseau). en tant que fichiers envoyés en pièces jointes, via un lien vers une ressource Web ou FTP, via un lien envoyé dans un message ICQ ou IRC, via des réseaux de partage de fichiers P2P, etc. Certains vers se propagent sous la forme de paquets réseau; ceux-ci pénètrent directement dans la mémoire de l'ordinateur et le code du ver est alors activé. Worms utilise les techniques suivantes pour pénétrer des ordinateurs distants et lancer des copies d'eux-mêmes: ingénierie sociale (par exemple, un message électronique suggérant que l'utilisateur ouvre un fichier joint), exploitation des erreurs de configuration réseau (par exemple copie sur disque entièrement accessible) failles dans la sécurité du système d'exploitation et des applications. Les virus peuvent être divisés en fonction de la méthode utilisée pour infecter un ordinateur: virus de fichiers virus du secteur de démarrage virus de script virus de virus Tous les programmes de cette sous-classe peuvent avoir des fonctions de Troie supplémentaires. Il convient également de noter que de nombreux vers utilisent plus d'une méthode pour diffuser des copies via des réseaux. Les règles de classification des objets détectés avec des fonctions multiples doivent être utilisées pour classer ces types de vers.

Classe: Net-Worm

Net-Worms se propagent via des réseaux informatiques. La caractéristique distinctive de ce type de ver est qu'il ne nécessite pas d'action de l'utilisateur pour se propager. Ce type de ver recherche généralement les vulnérabilités critiques des logiciels s'exécutant sur les ordinateurs en réseau. Afin d'infecter les ordinateurs sur le réseau, le ver envoie un paquet réseau spécialement conçu (appelé exploit) et par conséquent le code du ver (ou une partie du code du ver) pénètre dans l'ordinateur de la victime et l'active. Parfois, le paquet réseau contient uniquement la partie du code de ver qui va télécharger et exécuter un fichier contenant le module de ver principal. Certains vers de réseau utilisent simultanément plusieurs exploits pour se propager, augmentant ainsi la vitesse à laquelle ils trouvent des victimes.

Plus d'informations

Plateforme: Win32

Win32 est une API sur les systèmes d'exploitation Windows NT (Windows XP, Windows 7, etc.) qui prend en charge l'exécution des applications 32 bits. L'une des plateformes de programmation les plus répandues au monde.

Description

Détails techniques

Il s'agit d'un virus qui se propage via Internet relié à des e-mails infectés, et se copie dans des répertoires partagés sur un réseau local, et attaque également les machines IIS vulnérables (sites Web). Le ver lui-même est un fichier Windows PE EXE d'environ 57 Ko, écrit en Microsoft C ++.

Pour s'exécuter à partir d'un message infecté, le ver exploite une faille de sécurité. Le ver s'installe ensuite dans le système et exécute une routine d'étalement et une charge utile.

Le ver contient la chaîne de texte "copyright" suivante:

Virus Concept (CV) V.5, Copyright (C) 2001 RPChina

Installation

Lors de l'installation, le ver se copie:

dans le répertoire Windows avec le nom MMC.EXE

dans le répertoire système Windows avec RICHED20.DLL (et remplace le fichier original Windows RICHED20.DLL) et avec le nom LOAD.EXE.

Le dernier est ensuite enregistré dans la section d'exécution automatique dans un fichier SYSTEM.INI:

[boot] shell = explorer.exe load.exe -dontrunold

Le ver se copie également dans un répertoire temporaire avec des noms MEP * .TMP et MA * .TMP.EXE aléatoires, par exemple:

mep01A2.TMP
mep1A0.TMP.exe
mepE002.TMP.exe
mepE003.TMP.exe
mepE004.TMP

Les fichiers EXE ont des attributs Hidden et System, ainsi qu'un fichier LOAD.EXE (voir ci-dessus).

Le ver exécute alors ses routines d'étalement et de charge utile. Selon la version de Windows, le ver affecte le processus EXLORER.EXE et peut exécuter ses routines en tant que processus d'arrière-plan (thread) EXPLORER.

Diffusion par courrier électronique

Pour envoyer des messages infectés, le ver se connecte à une machine hôte en utilisant le protocole SMTP et envoie ses copies aux adresses des victimes.

Pour obtenir des adresses de messagerie de victimes, le ver utilise deux méthodes:

1. analyse les fichiers * .HTM et * .HTML et recherche des chaînes de type courrier électronique

2. en utilisant MAPI, se connecte aux boîtes de messagerie MS Exchange et obtient des adresses de messagerie à partir de là.

Les messages infectés sont au format HTML et contiennent:

Sujet: vide ou aléatoire
Corps: vide
Joindre: README.EXE
Les sujets sont choisis à partir du nom d'un fichier sélectionné au hasard dans un dossier:

HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerShell FoldersPersonnel

Généralement, il s'agit de "Mes documents" ou d'un fichier sélectionné au hasard sur le lecteur C :.

Pour se propager à partir de messages infectés, le ver utilise un astuce "IFRAME"; la vulnérabilité décrite à:

Bulletin de sécurité Microsoft (MS01-020): Un en-tête MIME incorrect peut provoquer l'exécution d'une pièce jointe à un courrier électronique par E-mail http://www.microsoft.com/technet/security/bulletin/MS01-020.asp

Patch de téléchargement:

http://www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp

Quelles sont les causes de la vulnérabilité?

Si un courrier HTML contient une pièce jointe exécutable, dont le type MIME est incorrectement donné comme l'un des types inhabituels, une faille dans IE entraînera l'exécution de la pièce jointe sans afficher un dialogue d'avertissement.

Que fait le patch?

Le correctif élimine la vulnérabilité en corrigeant la table des types MIME et leurs actions associées dans IE. Cela a pour effet d'empêcher les e-mails de lancer automatiquement des pièces jointes exécutables.

Répartir via le réseau local

Le ver scanne les lecteurs distants locaux et partagés (mappés) de trois manières différentes et infecte tous les répertoires accessibles.

En infectant, le ver utilise deux manières différentes:

1. Il crée des fichiers .EML (95% du temps) ou .NWS (5%) avec des noms choisis au hasard. Par conséquent, ces fichiers EML et NWS sont partout sur une machine infectée (et dans le réseau local), et ils peuvent être des milliers. Ces fichiers contiennent la copie du ver sous forme de courrier électronique.

Le formulaire de courrier électronique est un message électronique HTML avec la copie du ver dans une enveloppe MIME et avec une astuce IFRAME comme décrit ci-dessus. À l'ouverture, ce message infecte immédiatement une machine vulnérable.

2. Le ver recherche les combinaisons de noms de fichiers et d'extensions:

* DEFAUT *, * INDEX *, * MAIN *, * README * + .HTML, .HTM, .ASP

(* NAME * signifie qu'il peut s'agir d'une sous-chaîne dans le nom du fichier)

Dans le cas où un tel fichier est trouvé, le ver se copie sous forme e-mail avec le nom README.EML et ajoute au fichier HTM / ASP d'une victime un programme JavaScript qui ouvre simplement le fichier README.EML lorsque le fichier HTML / ASP Le fichier est en cours d'ouverture, ce qui active le ver.

Par conséquent, le ver infecte les pages Web et peut se propager aux ordinateurs qui visitent ces sites Web.

Diffusion en tant qu'attaque IIS

Pour télécharger son fichier sur la machine d'une victime, le ver utilise une commande "tftp" et active un serveur TFTP temporaire sur une machine infectée (actuelle) pour traiter la commande "get data" de la machine (distante) de la victime manière comme {{"BlueCode": IISWorm_BlueCode} ver IIS.

Le nom du fichier téléchargé sur l'ordinateur d'une victime est ADMIN.DLL.

Charges utiles

La routine de charge utile ajoute un utilisateur "invité" au groupe d'utilisateurs administrateur (en conséquence, un utilisateur "invité" a un accès complet à une machine infectée).

Le ver ouvre également tous les lecteurs locaux à partager.

Il existe plusieurs variantes du ver "Nimda".

Tous sont très fermés à l'original, et la plupart d'entre eux sont juste une version "corrigée" du ver original - les chaînes de texte dans le corps du ver sont remplacées par d'autres chaînes).

Nimda.b

C'est le ver "Nimda" original, cependant compressé par un compresseur de fichiers PCShrink Win32 PE EXE. Les cordes:

README.EXE, README.EML

sont remplacés par:

PUTA !!. SCR, PUTA !!. EML

Nimda.c

C'est exactement le ver "Nimda" d'origine bien que compressé par un compresseur UPX.

Nimda.d

Cette variante du ver a été postée sur Internet fin octobre 2001. Elle a été diffusée sous forme compressée (compresseur PECompact) et ce formulaire a une taille de 27K.

La seule différence avec le ver original est les chaînes de texte "copyright" qui sont patchées dans cette version avec le texte suivant:

HoloCaust Virus.! V.5.2 par Stephan Fernandez.Spain

Nimda.e

C'est une variante "Nimda" recompilée, et il y a plusieurs routines mineures soit légèrement fixes et / ou optimisées. Cette variante a été découverte à l'état sauvage à la fin d'octobre 2001.

Les différences visibles par rapport à la version originale du ver sont:

Le nom de fichier joint:
SAMPLE.EXE (au lieu de README.EXE)

Les fichiers DLL sont:
HTTPODBC.DLL et COOL.DLL (au lieu de ADMIN.DLL)

Le texte "copyright" est remplacé par:
Virus Concept (CV) V.6, Copyright (C) 2001, (Ceci est CV, No Nimda.)

En savoir plus

Découvrez les statistiques de la propagation des vulnérabilités dans votre région statistics.securelist.com

Vous avez trouvé une inexactitude dans la description de cette vulnérabilité ? Faites-le nous savoir !
Kaspersky IT Security Calculator:
Calculez le profil de sécurité de votre entreprise
Apprendre encore plus
Kaspersky!
Votre vie en ligne mérite une protection complète!
Apprendre encore plus
Confirm changes?
Your message has been sent successfully.