Danger : VBS/ShellScrap.Worm

Panda Software
22 juin 2000 à 10h36
0
00044534-photo-logo-panda-software.jpg
Panda Software met les utilisateurs en garde sur l’augmentation phénoménale des cas d’infections par le ver VBS/ShellScrap.Worm – alias " VBS/Life_stages " et " VBS.Stages Worm ". Panda conseille aux utilisateurs de faire preuve de la plus extrême vigilance avec leur courrier électronique, surtout s’ils remarquent les caractéristiques ci-dessous ; dans ce cas, le message qu’ils viennent de recevoir est infecté et ils devraient l’éliminer de leur système sur-le-champ.



Objet : l’un des trois textes suivants :

" Life Stages ", " Funny " ou " Jokes ". De plus, il ajoute au hasard, " FW " et " text ".



Corps du message : (en texte simple ou HTML) :

" The males and females stages of life "

(" Les étapes de la vie des hommes et des femmes ")

ou

" Bye "

(" Salut ")


Pièce jointe :

" LIFE_STAGES.TXT.SHS "

VBS/ShellScrap.Worm, alias " VBS/Life_Stages " et " VBS.Stages Worm ", est un ver infectieux qui utilise des techniques de dissimulation et qui possède une puissance de diffusion phénoménale, en raison de sa propagation via messageries électroniques, réseaux et IRC – tant Mirc que piRCH.

VBS/ShellScrap.Worm est une forme de code malveillant particulièrement complexe. Il utilise le format SHS Shell Scrap afin de tromper les utilisateurs, parce que, par défaut, Windows ne reconnaît pas sa véritable extension. De plus, pour rendre les choses encore plus compliqués aux antivirus qui essaient d’en détecter la présence, le code viral est chiffré.

VBS/ShellScrap.Worm s’auto-envoie par la messagerie électronique (en utilisant le programme Microsoft Outlook) à tous les contacts qui se trouvent dans le carnet d’adresses de l’utilisateur infecté, à condition qu’il y ait moins de 101 noms. S’il y a plus de 101 entrées dans la liste, le virus en choisit 100 au hasard et leur envoie un message doté des caractéristiques susmentionnées.

VBS/ShellScrap.Worm utilise des techniques de dissimulation pour cacher ses effets aux yeux des utilisateurs inconscients de sa présence. Bien que le fichier attaché soir doté de l’extension " SHS ", celle-ci n’est pas visible par l’utilisateur. Au contraire, le fichier apparaît avec une extension .TXT et utilise l’icône qui est habituellement associée aux fichiers textes. Afin de masquer ses véritables intentions, si le ver n’est pas exécuté à partir du dossier Démarrage, (Windows/StartMenu/Programs/StartUp), il va afficher un texte amusant, ce qui est exactement ce que les utilisateurs s’attendent à voir après avoir ouvert ce fichier.

Outre se diffuser par messagerie électronique, VBS/ShellScrap.Worm utilise les moyens de propagations suivants :

  • Lecteurs réseaux accessibles (tous, pas uniquement les lecteurs mappés). Pour faire ceci, le ver recherche le dossier Windows de chacun des lecteurs, puis se copie dans le dossier démarrage pour être sûr qu’il sera exécuté la fois suivante où le système sera démarré. Si le dossier Windows n’existe pas, il crée une copie de lui-même sous n’importe quel nom et s’installe dans le répertoire racine de chacun des lecteurs réseau.
  • IRC – mIRC et piRCH. VBS/ShellScrap.Worm envoie une copie de lui-même sous la forme d’un fichier appelé LIFE_STAGES.TXT.SHS à tous les utilisateurs connectés à la même chaîne que celui qui a récupéré l’infection en premier lieu.
  • Modifié le 01/06/2018 à 15h36
    0
    0
    Partager l'article :

    Les actualités récentes les plus commentées

    Emmanuel Macron se moque des opposants au déploiement de la 5G
    L'attaque d'un hôpital par ransomware pourrait tourner en homicide après la mort d'une patiente allemande
    Clubic évolue (en douceur)
    Allongé et endormi
    AMD dévoile le design de sa Radeon RX 6000 sur Twitter
    Le data center sous-marin de Microsoft refait surface après deux ans d'immersion
    Après Bouygues, au tour de RED by SFR d'augmenter des forfaits sans possibilité de refus
    Les satellites SpaceX, même peints, gâchent les nuits des astronomes
    Déjà en rupture de stock, les NVIDIA RTX 3080 se vendent à prix d'or sur eBay
    PS5 : des jeux jusqu'à 79,99 €, soit 10 € de plus que sur l'ancienne génération ?!
    scroll top