Danger : VBS/ShellScrap.Worm

22 juin 2000 à 10h36
0
00044534-photo-logo-panda-software.jpg
Panda Software met les utilisateurs en garde sur l’augmentation phénoménale des cas d’infections par le ver VBS/ShellScrap.Worm – alias " VBS/Life_stages " et " VBS.Stages Worm ". Panda conseille aux utilisateurs de faire preuve de la plus extrême vigilance avec leur courrier électronique, surtout s’ils remarquent les caractéristiques ci-dessous ; dans ce cas, le message qu’ils viennent de recevoir est infecté et ils devraient l’éliminer de leur système sur-le-champ.



Objet : l’un des trois textes suivants :

" Life Stages ", " Funny " ou " Jokes ". De plus, il ajoute au hasard, " FW " et " text ".



Corps du message : (en texte simple ou HTML) :

" The males and females stages of life "

(" Les étapes de la vie des hommes et des femmes ")

ou

" Bye "

(" Salut ")


Pièce jointe :

" LIFE_STAGES.TXT.SHS "

VBS/ShellScrap.Worm, alias " VBS/Life_Stages " et " VBS.Stages Worm ", est un ver infectieux qui utilise des techniques de dissimulation et qui possède une puissance de diffusion phénoménale, en raison de sa propagation via messageries électroniques, réseaux et IRC – tant Mirc que piRCH.

VBS/ShellScrap.Worm est une forme de code malveillant particulièrement complexe. Il utilise le format SHS Shell Scrap afin de tromper les utilisateurs, parce que, par défaut, Windows ne reconnaît pas sa véritable extension. De plus, pour rendre les choses encore plus compliqués aux antivirus qui essaient d’en détecter la présence, le code viral est chiffré.

VBS/ShellScrap.Worm s’auto-envoie par la messagerie électronique (en utilisant le programme Microsoft Outlook) à tous les contacts qui se trouvent dans le carnet d’adresses de l’utilisateur infecté, à condition qu’il y ait moins de 101 noms. S’il y a plus de 101 entrées dans la liste, le virus en choisit 100 au hasard et leur envoie un message doté des caractéristiques susmentionnées.

VBS/ShellScrap.Worm utilise des techniques de dissimulation pour cacher ses effets aux yeux des utilisateurs inconscients de sa présence. Bien que le fichier attaché soir doté de l’extension " SHS ", celle-ci n’est pas visible par l’utilisateur. Au contraire, le fichier apparaît avec une extension .TXT et utilise l’icône qui est habituellement associée aux fichiers textes. Afin de masquer ses véritables intentions, si le ver n’est pas exécuté à partir du dossier Démarrage, (Windows/StartMenu/Programs/StartUp), il va afficher un texte amusant, ce qui est exactement ce que les utilisateurs s’attendent à voir après avoir ouvert ce fichier.

Outre se diffuser par messagerie électronique, VBS/ShellScrap.Worm utilise les moyens de propagations suivants :

  • Lecteurs réseaux accessibles (tous, pas uniquement les lecteurs mappés). Pour faire ceci, le ver recherche le dossier Windows de chacun des lecteurs, puis se copie dans le dossier démarrage pour être sûr qu’il sera exécuté la fois suivante où le système sera démarré. Si le dossier Windows n’existe pas, il crée une copie de lui-même sous n’importe quel nom et s’installe dans le répertoire racine de chacun des lecteurs réseau.
  • IRC – mIRC et piRCH. VBS/ShellScrap.Worm envoie une copie de lui-même sous la forme d’un fichier appelé LIFE_STAGES.TXT.SHS à tous les utilisateurs connectés à la même chaîne que celui qui a récupéré l’infection en premier lieu.
  • Soyez toujours courtois dans vos commentaires.
    Respectez le réglement de la communauté.
    0
    0

    Actualités du moment

    Diablo 2 : le 28 juin en magasin
    Nouveaux bios Abit BH6 et BH6 1.1
    Nouveau drivers Detonator pour Win 9x
    Des cartes GeForce 2 64 Mo dans les PC Compaq
    Le Dolby AAC sera supporté dans le Rio 600
    CPU Stability Test
    Union sacrée entre Sega et Motorola autour des téléphones WAP
    Objectif WAP pour le constructeur français Alcatel
    Sony va lancer une PlayStation mobile à la rentrée 2000
    Convergence des réseaux numériques : Quel terminal pour se connecter ?
    Haut de page