Danger : VBS/ShellScrap.Worm

Panda Software met les utilisateurs en garde sur l’augmentation phénoménale des cas d’infections par le ver VBS/ShellScrap.Worm – alias " VBS/Life_stages " et " VBS.Stages Worm ". Panda conseille aux utilisateurs de faire preuve de la plus extrême vigilance avec leur courrier électronique, surtout s’ils remarquent les caractéristiques ci-dessous ; dans ce cas, le message qu’ils viennent de recevoir est infecté et ils devraient l’éliminer de leur système sur-le-champ.



Objet : l’un des trois textes suivants :

" Life Stages ", " Funny " ou " Jokes ". De plus, il ajoute au hasard, " FW " et " text ".



Corps du message : (en texte simple ou HTML) :

" The males and females stages of life "

(" Les étapes de la vie des hommes et des femmes ")

ou

" Bye "

(" Salut ")


Pièce jointe :

" LIFE_STAGES.TXT.SHS "

VBS/ShellScrap.Worm, alias " VBS/Life_Stages " et " VBS.Stages Worm ", est un ver infectieux qui utilise des techniques de dissimulation et qui possède une puissance de diffusion phénoménale, en raison de sa propagation via messageries électroniques, réseaux et IRC – tant Mirc que piRCH.

VBS/ShellScrap.Worm est une forme de code malveillant particulièrement complexe. Il utilise le format SHS Shell Scrap afin de tromper les utilisateurs, parce que, par défaut, Windows ne reconnaît pas sa véritable extension. De plus, pour rendre les choses encore plus compliqués aux antivirus qui essaient d’en détecter la présence, le code viral est chiffré.

VBS/ShellScrap.Worm s’auto-envoie par la messagerie électronique (en utilisant le programme Microsoft Outlook) à tous les contacts qui se trouvent dans le carnet d’adresses de l’utilisateur infecté, à condition qu’il y ait moins de 101 noms. S’il y a plus de 101 entrées dans la liste, le virus en choisit 100 au hasard et leur envoie un message doté des caractéristiques susmentionnées.

VBS/ShellScrap.Worm utilise des techniques de dissimulation pour cacher ses effets aux yeux des utilisateurs inconscients de sa présence. Bien que le fichier attaché soir doté de l’extension " SHS ", celle-ci n’est pas visible par l’utilisateur. Au contraire, le fichier apparaît avec une extension .TXT et utilise l’icône qui est habituellement associée aux fichiers textes. Afin de masquer ses véritables intentions, si le ver n’est pas exécuté à partir du dossier Démarrage, (Windows/StartMenu/Programs/StartUp), il va afficher un texte amusant, ce qui est exactement ce que les utilisateurs s’attendent à voir après avoir ouvert ce fichier.

Outre se diffuser par messagerie électronique, VBS/ShellScrap.Worm utilise les moyens de propagations suivants :

Lecteurs réseaux accessibles (tous, pas uniquement les lecteurs mappés). Pour faire ceci, le ver recherche le dossier Windows de chacun des lecteurs, puis se copie dans le dossier démarrage pour être sûr qu’il sera exécuté la fois suivante où le système sera démarré. Si le dossier Windows n’existe pas, il crée une copie de lui-même sous n’importe quel nom et s’installe dans le répertoire racine de chacun des lecteurs réseau.

IRC – mIRC et piRCH. VBS/ShellScrap.Worm envoie une copie de lui-même sous la forme d’un fichier appelé LIFE_STAGES.TXT.SHS à tous les utilisateurs connectés à la même chaîne que celui qui a récupéré l’infection en premier lieu.