Zhelatin.IL est un ver qui se présente sous forme d’un petit message avec du texte HTML contenant un lien semblant renvoyer vers un site des cartes électroniques, mais réellement dirige vers un site malveillant. Ce ver fait partie de la famille des vers Storm Worm.

Win32/Sintun.AF [eTrust], Email-Worm.Win32.Zhelatin.il [F-Secure], Email-Worm.Win32.Zhelatin.il [Kaspersky], Win32/Nuwar.gen! [Microsoft], Tibs.gen134 [Norman], Mal/Dorf-A [Sophos], Trojan.Packed.13 [Symantec] Worm/Storm.tch [Antivir], Storm Worm

Zhelatin.IL se propage via la messagerie électronique par la technique de spamming. Il se présente sous forme d’un message sans fichier joint et dont :

-Le Titre est variable, des exemples de titres rencontrés sont :
• A Labor Day E-Card
• A Special Greeting
• Your E-Greeting is waiting.

-l’expéditeur du message est une adresse usurpée ou générée aléatoirement

-Le corps est un petit texte HTML variable avec un lien hypertexte. L’adresse apparente du lien est une adresse d’un site des cartes électroniques comme :
• http://rockymountaincards.com/greet07/holiday?u9140t3xyv91ottjlw0a
• http://google.com/digcard/laborc?xyv91ottjlw0avh
• http://yahoo.com/07greetings/laborg?k1e1c0prc5aiaastlxr0b4ozhn7cu
• http://digitalcards.com/07greetings/edelivery?nvc86qes1bqnby26strh7ckqt5

Mais l’adresse du code source du message est différente de cette adresse apparente. Elle pointe vers une page web piégée qui tente d’installer automatiquement le programme malicieux en exploitant des failles de sécurité.
La page contient une image qui provoque le téléchargement d’un fichier labor.exe (qui est une copie du ver storm worm) :




L’exécution de ce fichier permet l’installation du virus et ainsi la prise de contrôle de la machine par un pirate distant.

VIRUS