Alertes VIRUS

Ce forum est consacré aux questions sur tous type de "BUGS" rencontrés sur nos chers PC: Virus, DirectX pas a jour, logiciels qui plantes, etc...

Modérateurs : TEAM THE C@TZ, MODERATEURS

Avatar du membre
totoland
Administrateur
Administrateur
Messages : 4939
Enregistré le : 26.11.2002 11:29
Localisation : Lost somewhere

Bagle.AD (04/07/2004)

Message par totoland » 16.07.2004 20:57

Bagle.AD est un virus qui se propage par email et via les dossiers partagés. Il se présente sous la forme d'un message dont le titre et le corps sont aléatoires, accompagné d'un fichier joint avec une extension en .COM, .CPL, .EXE, .HTA, .SCR, .VBS ou .ZIP (62 Ko). Si ce fichier est exécuté, le virus s'envoie aux adresses présentes dans le carnet d'adresses Windows ainsi que divers autres fichiers, tente de désactiver certains antivirus et pare-feux personnels, installe une porte dérobée permettant le relayage de spams, puis tente le cas échéant de se copier dans les dossiers partagés.

TYPE :
Ver

SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003

ALIAS :
W32/Bagle.ad@MM (McAfee)
W32/Bagle.AD.worm (Panda Software)
W32/Bagle-AD (Sophos)
W32.Beagle.Y@mm (Symantec)
WORM_BAGLE.AD (Trend Micro)
Win32/Bagle.BA@mm
I-Worm.Bagle.aa
Win32/Bagle.Variant.Worm

TAILLE :
62 Ko

DECOUVERTE :
04/07/2004

DESCRIPTION DETAILLEE :
Le virus Bagle.AD est une variante mineure du virus Bagle. Elle se présente sous la forme d'un message dont l'objet aléatoire :

* Re: Msg reply
* Re: Hello
* Re: Yahoo!
* Re: Thank you!
* Re: Thanks :)
* RE: Text message
* Re: Document
* Incoming message
* Re: Incoming Message
* RE: Incoming Msg
* RE: Message Notify
* Notification # Changes..
* Update
* Fax Message
* Protected message
* RE: Protected message
* Forum notify
* Site changes
* Re: Hi
* Encrypted document,0

Le corps du message est variable, en anglais, et tente notamment de faire passer pour une petite annonce :

* Attach tells everything.
* Attached file tells everything.
* Check attached file for details.
* Check attached file.
* Here is the file.
* Message is in attach
* More info is in attach
* Pay attention at the attach.
* Please, have a look at the attached file.
* Please, read the document.
* Read the attach.
* See attach.
* See the attached file for details.
* Your document is attached.
* Your file is attached.

Le fichier joint possède un nom aléatoire avec une extension en .COM, .CPL, .EXE, .HTA, .SCR, .VBS ou .ZIP et peut être accompagné d'une image. Les noms de fichier possibles :

* Attach
* Information
* Readme
* Document
* Info
* TextDocument
* TextFile
* MoreInfo
* Message

NB : cette fiche est publiée à titre d'information suite à des questions posées au support technique provoquées par quelques articles de presse web ayant choisi de médiatiser l'existence de ce virus parmi la dizaine identifiés chaque jour. Il n'a pas été constaté de propagation massive de Bagle.AD.
[align=center]"Quand une envie subite de travailler te prend. Allonges-toi et attends que ça passe"

Image[/align]

Avatar du membre
totoland
Administrateur
Administrateur
Messages : 4939
Enregistré le : 26.11.2002 11:29
Localisation : Lost somewhere

Bagel.AF (15/07/2004)

Message par totoland » 16.07.2004 20:58

Bagle.AF est un virus qui se propage par email et via les dossiers partagés. Il se présente sous la forme d'un message dont le titre et le corps sont aléatoires, accompagné d'un fichier joint avec une extension en .COM, .CPL, .EXE, .SCR ou .ZIP (20 à 32 Ko) ainsi parfois d'une image. Si ce fichier est exécuté, le virus s'envoie aux adresses présentes dans le carnet d'adresses Windows ainsi que divers autres fichiers, tente de désactiver certains antivirus et pare-feux personnels, installe une porte dérobée, puis tente le cas échéant de se copier dans les dossiers partagés.


TYPE :
Ver

SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows 2000
Windows XP
Windows 2003

ALIAS :
W32/Bagle.af@MM (McAfee)
W32.Beagle.AB@mm (Symantec]
WORM_BAGLE.AF (Trend Micro)

TAILLE :
20 à 32 Ko (variable)

DECOUVERTE :
15/07/2004

DESCRIPTION DETAILLEE :
Le virus Bagle.AF se présente sous la forme d'un courrier électronique dont l'objet est aléatoire :

* Changes..
* Encrypted document
* Fax Message
* Forum notify
* Incoming message
* Notification
* Protected message
* Re: Document
* Re: Hello
* Re: Hi
* Re: Incoming Message
* RE: Incoming Msg
* RE: Message Notify
* Re: Msg reply
* RE: Protected message
* RE: Text message
* Re: Thank you!
* Re: Thanks :)
* Re: Yahoo!
* Site changes
* Update

Le corps du message est variable, en anglais :

* Attach tells everything.
* Attached file tells everything.
* Check attached file for details.
* Check attached file.
* Here is the file.
* Message is in attach
* More info is in attach
* Pay attention at the attach.
* Please, have a look at the attached file.
* Please, read the document.
* Read the attach.
* See attach.
* See the attached file for details.
* Your document is attached.
* Your file is attached.
* Archive password: [nombre à 5 chiffres]
* Attached file is protected with the password for security reasons. Password is [nombre à 5 chiffres]
* For security purposes the attached file is password protected. Password -- [nombre à 5 chiffres]
* For security reasons attached file is password protected. The password is [nombre à 5 chiffres]
* In order to read the attach you have to use the following password: [nombre à 5 chiffres]
* Note: Use password [nombre à 5 chiffres] to open archive.
* Password - [nombre à 5 chiffres]
* Password: [nombre à 5 chiffres]

Le fichier joint possède un nom aléatoire avec une extension en .COM, .CPL, .EXE, .SCR ou .ZIP et peut être accompagné d'une image en .JPEG (mot de passe ouvrant le fichier ZIP) ainsi que d'un autre fichier en .ini, .cfg, .txt, .vxd, .def ou .dll (contenu non malicieux). Les noms de fichier possibles :

* Details
* Document
* Info
* Information
* Message
* Readme
* text_document
* Updates

Si ce fichier est exécuté, le virus se copie dans le répertoire système sous le nom sysxp.exe, ainsi que les fichiers sysxp.exeopen et sysxp.exeopenopen, modifie la base de registres afin d'être exécuté à chaque démarrage de l'ordinateur, puis s'envoie automatiquement aux contacts dont les adresses figurent dans le carnet d'adresses Windows ainsi que les fichiers .ADB, .ASP, .CFG, .CGI, .DBX, .DHTM, .EML, .HTM, .JSP, .MBX, .MDX, .MHT, .MMF, .MSG, .NCH, .ODS, .OFT, .PHP, .PL, .SHT, .STM, .TBB, .SHTM, .TXT, .UIN, .WSH, .XLS et .XML présents sur le disque avec son propre moteur SMTP, en utilisant une adresse d'expéditeur falsifiée. Bagle.AF désactive certaines variantes du virus concurrent Netsky, installe une porte dérobée qui ouvre le port TCP 1080 et permet la prise de contrôle à distance de l'ordinateur infecté et son utilisation pour relayer des spams, tente de contacter 141 sites web probablement en relation avec l'auteur du virus pour leur transmettre l'adresse IP de chaque ordinateur infecté, puis tente de désactiver 250 antivirus, pare-feux personnels et autres outils de sécurité.

Bagle.AF tente enfin de se propager via les dossiers dont le nom comporte le mot "shar" (comme KaZaa, Bearshare, etc.) en s'y copiant sous divers noms aguicheurs :

* ACDSee 9.exe
* Adobe Photoshop 9 full.exe
* Ahead Nero 7.exe
* Matrix 3 Revolution English Subtitles.exe
* Microsoft Office 2003 Crack, Working!.exe
* Microsoft Office XP working Crack, Keygen.exe
* Microsoft Windows XP, WinXP Crack, working Keygen.exe
* Opera 8 New!.exe
* Porno pics arhive, xxx.exe
* Porno Screensaver.scr
* Porno, sex, oral, anal cool, awesome!!.exe
* Serials.txt.exe
* WinAmp 5 Pro Keygen Crack Update.exe
* WinAmp 6 New!.exe
* Windown Longhorn Beta Leak.exe
* Windows Sourcecode update.doc.exe
* XXX hardcore images.exe

Le virus est conçu pour ne plus se propager et se désactiver lorsque la date du système est égale ou supérieure au 05/05/06, mais il reste présent dans les systèmes déjà infectés, donc une désinfection reste nécessaire.
[align=center]"Quand une envie subite de travailler te prend. Allonges-toi et attends que ça passe"

Image[/align]

Avatar du membre
totoland
Administrateur
Administrateur
Messages : 4939
Enregistré le : 26.11.2002 11:29
Localisation : Lost somewhere

Bagle.AI (19/07/2004)

Message par totoland » 20.07.2004 23:22

Bagle.AI est un virus qui se propage par email et via les dossiers partagés. Il se présente sous la forme d'un message dont le titre est "Re:" et dont le corps est aléatoire, accompagné d'un fichier joint avec une extension en .COM, .CPL, .EXE, .SCR ou .ZIP (20 à 30 Ko) ainsi parfois d'une image. Si ce fichier est exécuté, le virus s'envoie aux adresses présentes dans le carnet d'adresses Windows ainsi que divers autres fichiers, tente de désactiver certains antivirus et pare-feux personnels, installe une porte dérobée, puis tente le cas échéant de se copier dans les dossiers partagés.

TYPE :
Ver

SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003

ALIAS :
I-Worm.Bagle.ai (Kaspersky)
W32/Bagle.ai@MM (McAfee)
W32/Bagle.AH.worm (Panda Software)
W32/Bagle-AI (Sophos)
W32.Beagle.AG@mm (Symantec]
WORM_BAGLE.AH (Trend Micro)

TAILLE :
20 à 30 Ko (variable)

DECOUVERTE :
19/07/2004

DESCRIPTION DETAILLEE :
Bagle.AI est une variante mineure du virus Bagle.AF. Il se présente sous la forme d'un courrier électronique dont l'objet est "Re:" et dont le corps de message est variable, en anglais :

* >foto3 and MP3
* >fotogalary and Music
* >fotoinfo
* >Lovely animals
* >Animals
* >Predators
* >The snake
* >Screen and Music

Le fichier joint possède un nom aléatoire avec une extension en .COM, .CPL, .EXE, .SCR ou .ZIP et peut être accompagné d'une image en .JPEG (mot de passe ouvrant le fichier ZIP) ainsi que d'un autre fichier en .ini, .cfg, .txt, .doc, .vxd, .def ou .dll (contenu non malicieux). Les noms de fichier possibles :

* MP3
* Music_MP3
* New_MP3_Player
* Cool_MP3
* Doll
* Garry
* Cat
* Dog
* Fish

Si ce fichier est exécuté, le virus se copie dans le répertoire système sous le nom WinXP.exe, ainsi que les fichiers WinXP.exeopen, WinXP.exeopenopen, WinXP.exeopenopenopen et WinXP.exeopenopenopenopen, modifie la base de registres afin d'être exécuté à chaque démarrage de l'ordinateur, puis s'envoie automatiquement aux contacts dont les adresses figurent dans le carnet d'adresses Windows ainsi que les fichiers .ADB, .ASP, .CFG, .CGI, .DBX, .DHTM, .EML, .HTM, .JSP, .MBX, .MDX, .MHT, .MMF, .MSG, .NCH, .ODS, .OFT, .PHP, .PL, .SHT, .STM, .TBB, .SHTM, .TXT, .UIN, .WSH, .XLS et .XML présents sur le disque avec son propre moteur SMTP, en utilisant une adresse d'expéditeur falsifiée. Bagle.AI désactive certaines variantes du virus concurrent Netsky, installe une porte dérobée qui ouvre le port TCP 1080 et permet la prise de contrôle à distance de l'ordinateur infecté et son utilisation pour relayer des spams, tente de contacter plsu d'une centaine de sites web probablement en relation avec l'auteur du virus, puis tente de désactiver 250 antivirus, pare-feux personnels et autres outils de sécurité.

Bagle.AI tente enfin de se propager via les dossiers dont le nom comporte le mot "shar" (comme KaZaa, Bearshare, etc.) en s'y copiant sous divers noms aguicheurs :

* ACDSee 9.exe
* Adobe Photoshop 9 full.exe
* Ahead Nero 7.exe
* Matrix 3 Revolution English Subtitles.exe
* Microsoft Office 2003 Crack, Working!.exe
* Microsoft Office XP working Crack, Keygen.exe
* Microsoft Windows XP, WinXP Crack, working Keygen.exe
* Opera 8 New!.exe
* Porno pics arhive, xxx.exe
* Porno Screensaver.scr
* Porno, sex, oral, anal cool, awesome!!.exe
* Serials.txt.exe
* WinAmp 5 Pro Keygen Crack Update.exe
* WinAmp 6 New!.exe
* Windown Longhorn Beta Leak.exe
* Windows Sourcecode update.doc.exe
* XXX hardcore images.exe
[align=center]"Quand une envie subite de travailler te prend. Allonges-toi et attends que ça passe"

Image[/align]

Avatar du membre
totoland
Administrateur
Administrateur
Messages : 4939
Enregistré le : 26.11.2002 11:29
Localisation : Lost somewhere

MyDoom.m (26/07/2004)

Message par totoland » 16.08.2004 13:17

Mydoom.M est un virus qui se propage par email. Il se présente sous la forme d'un message dont le titre et le corps sont aléatoires, avec un fichier joint dont l'extension est .BAT, .CMD, .COM, .EXE, .PIF, .SCR ou .ZIP (28 Ko) et dont le nom contient le domaine ou l'adresse e-mail du destinataire. Si ce fichier est exécuté, le virus s'envoie aux adresses figurant dans le carnet d'adresses Windows et divers autres fichiers, et installe une porte dérobée autorisant la prise de contrôle à distance de l'ordinateur infecté.


TYPE :
Ver

SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003

ALIAS :
Mydoom.M (F-Secure)
I-Worm.Mydoom.m (KAV)
W32/Mydoom.o@MM (Mc Afee)
W32.Mydoom.N@mm (Panda Software)
W32/Mydoom-O (Sophos)
W32.Mydoom.M@mm (Symantec)
WORM_MYDOOM.M (Trend Micro)

TAILLE :
28.832 octets

DECOUVERTE :
26/07/04

DESCRIPTION DETAILLEE :
Mydoom.M se présente sous la forme d'un message dont le titre, le corps et le nom du fichier joint sont aléatoires Quelques titres de messages :

* hello
* hi
* error
* status
* test
* report
* delivery failed
* Message could not be delivered
* Mail System Error - Returned Mail
* Delivery reports about your e-mail
* Returned mail: see transcript for details
* Returned mail: Data format error

Le corps du message est très variable (corps de message vide, caractères aléatoires ou texte en anglais). La pièce jointe possède une extension en .BAT, .CMD, .COM, .EXE, .PIF, .SCR ou .ZIP et un nom aléatoire choisi parmi ces posibilités (par exemple "[votre adresse e-mail].zip") :

* [adresse e-mail du destinataire]
* [nom de domaine de l'adresse e-mail du destinataire]
* readme
* instruction
* transcript
* mail
* letter
* file
* text
* attachment
* document
* message

Si ce fichier est exécuté, le virus se copie dans le répertoire Windows sous le nom JAVA.EXE, modifie la base de registres pour s'exécuter automatiquement à chaque démarrage, puis s'envoie aux correspondants dont les adresses figurent dans le carnet d'adresses Windows ainsi que divers autres fichiers (.adb, .asp, .dbx, .htm, .php, .pl, .sht, . tbb, .txt) en utilisant comme adresse d'expéditeur une adresses choisie aléatoirement parmi celles récoltées sur le disque dur de la victime ou en forgeant une fausse adresse. Pour trouver des adresses, Mydoom.M est également capable de lancer de recherches sur les moteurs search.lycos.com, search.yahoo.com, www.altavista.com et www.google.com afin de collecter d'autres adresses contenant les noms de domaine présents dans les adresses déjà récupérées, ainsi que d'intercepter les adresses présentes dans les fenêtres du logiciel de messagerie Microsoft Outlook.

Mydoom.M copie un second fichier dans le répertoire Windows sous le nom SERVICES.EXE : il s'agit d'une porte dérobée nommée Backdoor.Zincite.A qui autorise la prise de contrôle à distance de l'ordinateur infecté via le port TCP 1034, laissant l'ordinateur vulnérable à de futures attaques.

27/07/04 : un virus nommé Zindos.A (également appelé W32.Zindos.A ou W32/Zindos.worm) a été identifié. Spécialement créé pour exploiter la porte dérobée de Mydoom.M afin de se connecter aux machines infectées par ce virus et de les recontaminer dans le but de lancer une attaque par déni de service contre le site Microsoft.com, Zindos est inoffensif pour la majorité des internautes. Victime d'un bug qui lui fait réinfecter à l'infini l'ordinateur contaminé au point de ralentir voire de paralyser le système, sa propagation est restée jusque-là très limitée et devrait rester non significative.
[align=center]"Quand une envie subite de travailler te prend. Allonges-toi et attends que ça passe"

Image[/align]

Avatar du membre
totoland
Administrateur
Administrateur
Messages : 4939
Enregistré le : 26.11.2002 11:29
Localisation : Lost somewhere

Mabutu.A (27/07/2004)

Message par totoland » 16.08.2004 13:18

Mabutu.A est un virus qui se propage par email et via le logiciel KaZaA. Il se présente sous la forme d'un message dont le corps est vide et le titre est aléatoire, avec d'un fichier joint dont l'extension est .EXE, .SCR ou .ZIP (33 Ko). Si ce fichier est exécuté, le virus s'envoie aux adresses présentes dans le carnet d'adresses Windows ainsi que divers autres fichiers, tente de se copier dans le dossier KaZaA, installe une porte dérobée, puis se connecte à un canal IRC pour signaler la prise de contrôle de l'ordinateur.


TYPE :
Ver

SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003

ALIAS :
Win32:Mabutu-B (Avast)
I-Worm.Mabutu.a (Kaspersky)
W32/Mabutu.a@MM (McAfee)
W32/Mabutu.A.worm (Panda Software)
W32.Mota.B@mm (Symantec)
WORM_MABUTU.A (Trend Micro)
Mabutu.b

TAILLE :
32.768 octets

DECOUVERTE :
27/07/2004

DESCRIPTION DETAILLEE :
Mabutu.A se présente sous la forme d'un courrier électronique dont le corps est vide et dont l'objet est variable, en anglais :

* Hi
* Hello
* Important
* I'm in love
* Sex
* Wet girls
* I'm nude
* Fetishes
* Ok cunt

Le fichier joint possède un nom aléatoire avec une extension en .EXE, .SCR ou .ZIP. Les noms de fichier possibles :

* britney
* jenifer
* photo
* creme_de_gruyere
* gutted
* desktop
* details
* document
* message

Si ce fichier est exécuté, le virus se copie dans le répertoire Windows sous deux noms aléatoires se terminant par TWAIN en .EXE (27.136 octets) et en .DLL ((39.936 octets), modifie la base de registres afin d'être exécuté à chaque démarrage de l'ordinateur, puis s'envoie automatiquement aux contacts dont les adresses figurent dans le carnet d'adresses Windows, la liste de contacts MSN Messenger ainsi que les fichiers .HTM, .HTML et .TXT présents sur le disque dur, en utilisant une adresse d'expéditeur falsifiée.

Mabutu.A installe par ailleurs une porte dérobée contrôlée par IRC et se connecte à un canal parmi plusieurs dizaines afin de signaler la prise de contrôle de l'ordinateur infecté. Il tente enfin de se propager via KaZaA en se copiant dans le dossier partagé sous le nom SCRNSAVE.EXE.
[align=center]"Quand une envie subite de travailler te prend. Allonges-toi et attends que ça passe"

Image[/align]

Avatar du membre
totoland
Administrateur
Administrateur
Messages : 4939
Enregistré le : 26.11.2002 11:29
Localisation : Lost somewhere

Bagle.AL (09/08/2004)

Message par totoland » 16.08.2004 13:19

Bagle.AL est un virus qui se propage par email et via les dossiers partagés. Il se présente sous la forme d'un message dont le titre est vide et dont le corps est "new price", accompagné d'un fichier joint avec une extension .ZIP (6 Ko). Si ce fichier est exécuté, le virus s'envoie aux adresses présentes dans le carnet d'adresses Windows ainsi que divers autres fichiers, tente de désactiver certains antivirus et pare-feux personnels, installe une porte dérobée, puis tente le cas échéant de se copier dans les dossiers partagés.


TYPE :
Ver

SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003

ALIAS :
Win32.Bagle.AG (Computer Associates)
JS.Bagle.AG (Computer Associates)
ZIP.Bagle.AG (Computer Associates)
Bagle.al (F-Secure)
I-Worm.Bagle.al (Kaspersky)
W32/Bagle.aq@MM (McAfee)
W32/Bagle.aq!zip (McAfee)
W32/Bagle.AM.worm (Panda Software)
W32/Bagle-AQ (Sophos)
W32.Beagle.AO@mm (Symantec)
WORM_BAGLE.AC (Trend Micro)
HTML_BAGLE.AC (Trend Micro)
TROJ_BAGLE.AC (Trend Micro)
JScript/IE.VM.Exploit
Win32/WDirect.DLL.Worm
Win32/WDirect.Trojan

TAILLE :
6 Ko

DECOUVERTE :
09/08/2004

DESCRIPTION DETAILLEE :
Bagle.AL se présente sous la forme d'un courrier électronique dont l'objet est vide et dont le corps de message est "new price" ou "price" .

Le fichier joint possède un nom aléatoire avec une extension en .ZIP et peut être accompagné d'une image affichant le mot de passe qui ouvre le cas échéant le fichier ZIP. Les noms de fichier possibles :

* price.zip
* price2.zip
* price_new.zip
* price_08.zip
* 08_price.zip
* newprice.zip
* new_price.zip
* new__price.zip

Ce fichier .ZIP contient un fichier price.html ainsi qu'un dossier "price" contenant lui-même un fichier price.exe. Si ce fichier est exécuté ou si le fichier price.html est ouvert sur un système vulnérable à la faille Object Data vulnerability d'Internet Explorer, price.exe installe un troyen qui télécharge puis exécute un composant manquant du virus stocké sous la forme d'une image (un fichier .EXE simplement renommé en .JPG) depuis une liste de plus de 200 sites web. Le virus se copie alors dans le répertoire système sous le nom WINDLL.EXE, ainsi que les fichiers WINDLL.EXEOPEN et WINDLL.EXEOPENOPEN, modifie la base de registres afin d'être exécuté à chaque démarrage de l'ordinateur, puis s'envoie automatiquement aux contacts dont les adresses figurent dans le carnet d'adresses Windows ainsi que les fichiers .ADB, .ASP, .CFG, .CGI, .DBX, .DHTM, .EML, .HTM, .JSP, .MBX, .MDX, .MHT, .MMF, .MSG, .NCH, .ODS, .OFT, .PHP, .PL, .SHT, .STM, .TBB, .SHTM, .TXT, .UIN, .WSH, .XLS et .XML présents sur le disque avec son propre moteur SMTP, en utilisant une adresse d'expéditeur falsifiée. Bagle.AL désactive certaines variantes du virus concurrent Netsky, installe une porte dérobée qui ouvre le port TCP 80, tente de contacter divers sites web et de désactiver certains antivirus, pare-feux personnels et autres outils de sécurité. Bagle.AL tente enfin de se propager via les dossiers dont le nom comporte le mot "shar" (comme KaZaa, Bearshare, etc.) en s'y copiant sous divers noms aguicheurs :

* ACDSee 9.exe
* Adobe Photoshop 9 full.exe
* Ahead Nero 7.exe
* Matrix 3 Revolution English Subtitles.exe
* Microsoft Office 2003 Crack, Working!.exe
* Microsoft Office XP working Crack, Keygen.exe
* Microsoft Windows XP, WinXP Crack, working Keygen.exe
* Opera 8 New!.exe
* Porno pics arhive, xxx.exe
* Porno Screensaver.scr
* Porno, sex, oral, anal cool, awesome!!.exe
* Serials.txt.exe
* WinAmp 5 Pro Keygen Crack Update.exe
* WinAmp 6 New!.exe
* Windown Longhorn Beta Leak.exe
* Windows Sourcecode update.doc.exe
* XXX hardcore images.exe

En cours de rédaction...
[align=center]"Quand une envie subite de travailler te prend. Allonges-toi et attends que ça passe"

Image[/align]

Avatar du membre
totoland
Administrateur
Administrateur
Messages : 4939
Enregistré le : 26.11.2002 11:29
Localisation : Lost somewhere

MyDoom.S (15/08/2004)

Message par totoland » 16.08.2004 13:21

Mydoom.S est un virus qui se propage par e-mail. Il se présente sous la forme d'un message dont le titre est "photos" et le corps est "LOL!;))))", accompagné d'un fichier joint photos_arc.exe (27 Ko). Si ce fichier est exécuté, le virus s'envoie aux adresses figurant dans le carnet d'adresses Windows et divers autres fichiers, et installe deux portes dérobées autorisant la prise de contrôle à distance de l'ordinateur infecté. Envoyé en masse par spamming, il ne semble cependant pas lui-même particulièrement virulent.


TYPE :
Ver

SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003

ALIAS :
Mydoom.S (F-Secure)
W32/Mydoom.s@MM (Mc Afee)
W32/Mydoom.R.worm (Panda Software)
W32/MyDoom-S (Sophos)
W32.Mydoom.Q@mm (Symantec)
WORM_RATOS.A (Trend Micro)

TAILLE :
27.136 octets

DECOUVERTE :
15/08/04

DESCRIPTION DETAILLEE :
Mydoom.S se présente sous la forme d'un courrier électronique dont l'objet est "photos" et dont le corps de message est "LOL!;))))", accompagné d'un fichier joint photos_arc.exe (27 Ko) .

Si ce fichier est exécuté, le virus se copie dans le répertoire Windows sous le nom rasor38a.dll et dans le répertoire Sytème sous le nom winpsd.exe, modifie la base de registres pour s'exécuter automatiquement à chaque démarrage, puis s'envoie aux correspondants dont les adresses figurent dans le carnet d'adresses Windows ainsi que divers autres fichiers (.adb, .asp, .dbx, .htm, .php, .pl, .sht, . tbb, .txt). Le virus tente ensuite de télécharger et d'installer deux portes dérobées depuis deux sites web, afin de permettre la prise de contrôle à distance de l'ordinateur infecté.

En cours de rédaction...
[align=center]"Quand une envie subite de travailler te prend. Allonges-toi et attends que ça passe"

Image[/align]

Verrouillé