Alerte rouge : WORM_GONE.A !
Trend Micro nous informe sur un nouveau virus nommé WORM_GONE.A. De part ...
Trend Micro nous informe sur un nouveau virus nommé WORM_GONE.A.
De part le nombre d'utilisateurs touchés à travers le monde, cette alerte est déclarée ROUGE pour la société.
Ce ver arrive par le service de mail avec la pièce jointe GONE.SCR. Ce fichier est compilé par le programme UPX packer en Visual Basic.
Corps du message :
Sujet : Hi
Corps :
How are you ?
When I saw this screensaver, I immediately thought about you
I am in a harry, I promise you will love it!
Pièce jointe : GONE.SCR
Une copie du ver est alors déposée dans le fichier %System%\GONE.SCR et auto-exécute ce fichier chaque fois que Windows démarre en créant la clé de registre : HKLM\Software\Microsoft\Windows\CurrentVersion\Run\%System%\gone.scr = %System%\gone.scr.
Il utilise aussi les applications mIRC pour installer une backdoor. Il crée un fichier REMOTE.INI qui contient un script qui se charge chaque fois que l'application mIRC est démarrée. L'auteur de ce ver peut alors utiliser cette backdoor pour opérer une attaque DOS (Denial of Service) sur les IRC (Internet relay chat) et/ou sur les utilisateurs connectés à la même IRC que l'utilisateur infecté.
Ce ver se propage également via les applications ICQ chat. Il utilise le ICQAPI pour envoyer une copie de lui-même à tous les utilisateurs connectés.
Effets destructeurs :
Ce ver cherche en mémoire certaines applications (dont certains firewalls personnels et certains antivirus) comme suit :
· IAMAPP.EXE
· IAMSERV.EXE
· CFINET.EXE
· APLICA32.EXE
· ZONEALARM.EXE
· ESAFE.EXE
· CFIADMIN.EXE
· CFIAUDIT.EXE
· CFINET32.EXE
· PCFWALLICON.EXE
· FRW.EXE
· VSHWIN32.EXE
· VSECOMR.EXE
· WEBSCANX.EXE
· AVCONSOL.EXE
· VSSTAT.EXE
· NAVAPW32.EXE
· NAVW32.EXE
· _AVP32.EXE
· _AVPCC.EXE
· _AVPM.EXE
· AVP32.EXE
· AVPCC.EXE
· AVPM.EXE
· AVP.EXE
· ICLOAD95.EXE
· ICMON.EXE
· ICSUPP95.EXE
· ICLOADNT.EXE
· ICSUPPNT.EXE
· TDS2-98.EXE
· TDS2-NT.EXE
· SAFEWEB.EXE
Lorsqu'il trouve l'un de ces fichiers en mémoire, il met fin à leur process. Il détruit aussi tous les fichiers dans les répertoires lorsqu'il localise ces fichiers. La routine empêche l'application de fonctionner et les fichiers de s'exécuter.
Tous les éditeurs d'antivirus ont développé une protection contre ce virus, n'hésitez pas à mettre à jour votre logiciel...
De part le nombre d'utilisateurs touchés à travers le monde, cette alerte est déclarée ROUGE pour la société.
Ce ver arrive par le service de mail avec la pièce jointe GONE.SCR. Ce fichier est compilé par le programme UPX packer en Visual Basic.
Corps du message :
Sujet : Hi
Corps :
How are you ?
When I saw this screensaver, I immediately thought about you
I am in a harry, I promise you will love it!
Pièce jointe : GONE.SCR
Une copie du ver est alors déposée dans le fichier %System%\GONE.SCR et auto-exécute ce fichier chaque fois que Windows démarre en créant la clé de registre : HKLM\Software\Microsoft\Windows\CurrentVersion\Run\%System%\gone.scr = %System%\gone.scr.
Il utilise aussi les applications mIRC pour installer une backdoor. Il crée un fichier REMOTE.INI qui contient un script qui se charge chaque fois que l'application mIRC est démarrée. L'auteur de ce ver peut alors utiliser cette backdoor pour opérer une attaque DOS (Denial of Service) sur les IRC (Internet relay chat) et/ou sur les utilisateurs connectés à la même IRC que l'utilisateur infecté.
Ce ver se propage également via les applications ICQ chat. Il utilise le ICQAPI pour envoyer une copie de lui-même à tous les utilisateurs connectés.
Effets destructeurs :
Ce ver cherche en mémoire certaines applications (dont certains firewalls personnels et certains antivirus) comme suit :
· IAMAPP.EXE
· IAMSERV.EXE
· CFINET.EXE
· APLICA32.EXE
· ZONEALARM.EXE
· ESAFE.EXE
· CFIADMIN.EXE
· CFIAUDIT.EXE
· CFINET32.EXE
· PCFWALLICON.EXE
· FRW.EXE
· VSHWIN32.EXE
· VSECOMR.EXE
· WEBSCANX.EXE
· AVCONSOL.EXE
· VSSTAT.EXE
· NAVAPW32.EXE
· NAVW32.EXE
· _AVP32.EXE
· _AVPCC.EXE
· _AVPM.EXE
· AVP32.EXE
· AVPCC.EXE
· AVPM.EXE
· AVP.EXE
· ICLOAD95.EXE
· ICMON.EXE
· ICSUPP95.EXE
· ICLOADNT.EXE
· ICSUPPNT.EXE
· TDS2-98.EXE
· TDS2-NT.EXE
· SAFEWEB.EXE
Lorsqu'il trouve l'un de ces fichiers en mémoire, il met fin à leur process. Il détruit aussi tous les fichiers dans les répertoires lorsqu'il localise ces fichiers. La routine empêche l'application de fonctionner et les fichiers de s'exécuter.
Tous les éditeurs d'antivirus ont développé une protection contre ce virus, n'hésitez pas à mettre à jour votre logiciel...
Source :
Interne
Teuf
le 5 décembre 2001 à 09:59
(1 646
lectures)
Actualités et brèves relatives
