Alertes VIRUS

Ce forum est consacré aux questions sur tous type de "BUGS" rencontrés sur nos chers PC: Virus, DirectX pas a jour, logiciels qui plantes, etc...

Modérateurs : TEAM THE C@TZ, MODERATEURS

Avatar du membre
totoland
Administrateur
Administrateur
Messages : 4939
Enregistré le : 26.11.2002 11:29
Localisation : Lost somewhere

Netsky.P (23/03/2004)

Message par totoland » 22.03.2004 19:38

Netsky.P est un virus qui se propage par email et via les dossiers partagés. Il se présente sous la forme d'un message au format texte ou HTML dont le titre et le corps sont aléatoires, accompagné d'un fichier joint dont l'extension est .SCR, .EXE, .PIF ou .ZIP (29 Ko), en se faisant passer notamment pour un message d'erreur ou un message sécurisé. Si l'ordinateur n'est pas à jour dans ses correctifs, la simple ouverture ou prévisualisation du message HTML provoque l'exécution du fichier joint. Si ce dernier est exécuté, le virus s'envoie aux adresses présentes dans le carnet d'adresses Windows et divers autres fichiers du disque, puis se copie dans les dossiers partagés.


TYPE :
Ver

SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003

ALIAS :
Moodown.P (F-Secure)
I-Worm.Moodown.p (Kaspersky)
I-Worm.Netsky.p (Kaspersky)
W32/Netsky.p@MM (McAfee)
W32.Netsky.P@mm (Symantec)
W32.Netsky.Gen@mm (Symantec)
WORM_NETSKY.P (Trend Micro)
Worm.SomeFool.P
Worm.SomeFool.Gen

TAILLE :
29.568 octets

DECOUVERTE :
21/03/2004

DESCRIPTION DETAILLEE :
Le virus Netsky.P est une variante du virus Netsky.D. Il se présente sous la forme d'un message dont le titre, le corps et le nom du fichier joint sont aléatoires. Les titres de message :

* Stolen document
* Re:Hello
* Mail Delivery ( failure [votre adresse email])
* Private document
* Re:Notify
* Re:document
* Re:Extended Mail System
* Re:Proctected Mail System
* Re:Question
* Private document
* Postcard
* Re: Encrypted Mail
* Re: Extended Mail
* Re: Status
* Re: Notify
* Re: SMTP Server
* Re: Mail Server
* Re: Delivery Server
* Re: Bad Request
* Re: Failure
* Re: Thank you for delivery
* Re: Test
* Re: Administration
* Re: Message Error
* Re: Error
* Re: Extended Mail System
* Re: Secure SMTP Message
* Re: Protected Mail Request
* Re: Protected Mail System
* Re: Protected Mail Delivery
* Re: Secure delivery
* Re: Delivery Protection
* Re: Mail Authentification
* Re: Encrypted Mail
* Re: Extended Mail
* Re: Status
* Re: Notify
* Re: SMTP Server
* Re: Mail Server
* Re: Delivery Server
* Re: Bad Request
* Re: Failure
* Re: Thank you for delivery
* Re: Test
* Re: Administration
* Re: Message Error
* Re: Error
* Re: Extended Mail System
* Re: Secure SMTP Message
* Re: Protected Mail Request
* Re: Protected Mail System
* Re: Protected Mail Delivery
* Re: Secure delivery
* Re: Delivery Protection
* Re: Mail Authentification

Le corps du message est un court texte en anglais destiné à inciter l'internaute à ouvrir le fichier joint :

* I found this document about you.
* I have attached it to this mail.
* Waiting for authentification.
* Please confirm!
* Protected message is available
* Do not visit this illegal websites!
* Here is my phone number.
* I cannot believe that.
* Your file is attached.
* For further details see that attachment.
* Congratulations!, your best friend.
* Greetings from france, your friend.
* If the message will not displayed automatically, follow the link to read the delivered message. Received message is available at: [adresse internet factive contenant le nom de domaine de votre adresse email]

Le corps du message se termine souvent par une fausse certification affirmant que le message est sain et dépourvu de virus :

* +++ Attachment: No Virus found
+++ MessageLabs AntiVirus - www.messagelabs.com
* +++ Attachment: No Virus found
+++ Bitdefender AntiVirus - www.bitdefender.com
* +++ Attachment: No Virus found
+++ MC-Afee AntiVirus - www.mcafee.com
* +++ Attachment: No Virus found
+++ Kaspersky AntiVirus - www.kaspersky.com
* +++ Attachment: No Virus found
+++ Panda AntiVirus - www.pandasoftware.com
* ++++ Attachment: No Virus found
++++ Norman AntiVirus - www.norman.com
* ++++ Attachment: No Virus found
++++ F-Secure AntiVirus - www.f-secure.com
* ++++ Attachment: No Virus found
++++ Norton AntiVirus - www.symantec.de

La pièce jointe possède un nom aléatoire et une extension en .SCR, .EXE, .PIF ou .ZIP :

* websites[nombre aléatoire].zip
* document[nombre aléatoire].zip
* your_document.zip
* part[nombre aléatoire].zip
* message.doc.scr
* message.zip
* document.zip
* old_photos.txt.pif
* postcard_.[nombre aléatoire]..zip
* details[nombre aléatoire].zip

Le message au format HTML exploite la vulnérabilité MS01-020 d'Internet Explorer 5.01 et 5.5 (09/03/01) : si l'ordinateur n'est pas à jour dans ses correctifs de sécurité, la simple ouverture ou prévisualisation du message provoque l'exécution du fichier joint. Si le fichier joint est exécuté, le virus se copie dans le répertoire Windows sous le nom FVProtect.exe, copie également les fichiers userconfig9x.dll, base64.tmp, zip1.tmp, zip2.tmp, zip3.tmp et zipped.tmp (des copies de lui-même) dans ce répertoire, modifie la base de registres pour être exécuté à chaque démarrage de l'ordinateur, puis s'envoie aux contacts dont les adresses figurent dans le carnet d'adresses Windows (.WAB) ainsi que les fichiers .ADB, .ASP, .CGI, .DBX, .DHTM, .DOC, .EML, .JSP, .HTM, .HTML, .MSG, .OFT, .PHP, .PL, .RFT, .SHT, .SHTM, .TBB, .TXT, .UIN, .VBS, .WSH et .XML des disques C à Z, en utilisant comme adresse d'expéditeur une adresse usurpée ou falsifiée mais en évitant les adresses dont le nom de domaine contient "abuse", "fbi", "orton, "f-pro", "aspersky", "cafee", "orman", "itdefender", f-secur", "avp", "skynet", "spam", "messagelabs", "ymantec", "antivi" et "icrosoft".

Netsky.P supprime plusieurs clés de la base de registres, notamment pour désactiver certaines variantes des virus Bagle, Nachi, et Mydoom, puis tente de se propager via les dossiers partagés se copiant dans les répertoires dont le nom comporte le mot "bear", "donkey", "download", "ftp", "htdocs", "http", "icq", "kazaa", "lime", "morpheus", "mule", "my shared folder", "shar", "shared files" ou "upload" sous divers noms aguicheurs :

* 1001 Sex and more.rtf.exe
* 3D Studio Max 6 3dsmax.exe
* ACDSee 10.exe
* Adobe Photoshop 10 crack.exe
* Adobe Photoshop 10 full.exe
* Adobe Premiere 10.exe
* Ahead Nero 8.exe
* Altkins Diet.doc.exe
* American Idol.doc.exe
* Arnold Schwarzenegger.jpg.exe
* Best Matrix Screensaver new.scr
* Britney sex xxx.jpg.exe
* Britney Spears and Eminem porn.jpg.exe
* Britney Spears blowjob.jpg.exe
* Britney Spears cumshot.jpg.exe
* Britney Spears fuck.jpg.exe
* Britney Spears full album.mp3.exe
* Britney Spears porn.jpg.exe
* Britney Spears Sexy archive.doc.exe
* Britney Spears Song text archive.doc.exe
* Britney Spears.jpg.exe
* Britney Spears.mp3.exe
* Clone DVD 6.exe
* Cloning.doc.exe
* Cracks & Warez Archiv.exe
* Dark Angels new.pif
* Dictionary English 2004 - France.doc.exe
* DivX 8.0 final.exe
* Doom 3 release 2.exe
* E-Book Archive2.rtf.exe
* Eminem blowjob.jpg.exe
* Eminem full album.mp3.exe
* Eminem Poster.jpg.exe
* Eminem sex xxx.jpg.exe
* Eminem Sexy archive.doc.exe
* Eminem Song text archive.doc.exe
* Eminem Spears porn.jpg.exe
* Eminem.mp3.exe
* Full album all.mp3.pif
* Gimp 1.8 Full with Key.exe
* Harry Potter 1-6 book.txt.exe
* Harry Potter 5.mpg.exe
* Harry Potter all e.book.doc.exe
* Harry Potter e book.doc.exe
* Harry Potter game.exe
* Harry Potter.doc.exe
* How to hack new.doc.exe
* Internet Explorer 9 setup.exe
* Kazaa Lite 4.0 new.exe
* Kazaa new.exe
* Keygen 4 all new.exe
* Learn Programming 2004.doc.exe
* Lightwave 9 Update.exe
* Magix Video Deluxe 5 beta.exe
* Matrix.mpg.exe
* Microsoft Office 2003 Crack best.exe
* Microsoft WinXP Crack full.exe
* MS Service Pack 6.exe
* netsky source code.scr
* Norton Antivirus 2005 beta.exe
* Opera 11.exe
* Partitionsmagic 10 beta.exe
* Porno Screensaver britney.scr
* RFC compilation.doc.exe
* Ringtones.doc.exe
* Ringtones.mp3.exe
* Saddam Hussein.jpg.exe
* Screensaver2.scr
* Serials edition.txt.exe
* Smashing the stack full.rtf.exe
* Star Office 9.exe
* Teen Porn 15.jpg.pif
* The Sims 4 beta.exe
* Ulead Keygen 2004.exe
* Visual Studio Net Crack all.exe
* Win Longhorn re.exe
* WinAmp 13 full.exe
* Windows 2000 Sourcecode.doc.exe
* Windows 2003 crack.exe
* Windows XP crack.exe
* WinXP eBook newest.doc.exe
* XXX hardcore pics.jpg.exe
Modifié en dernier par totoland le 26.03.2004 15:28, modifié 1 fois.
[align=center]"Quand une envie subite de travailler te prend. Allonges-toi et attends que ça passe"

Image[/align]

Avatar du membre
totoland
Administrateur
Administrateur
Messages : 4939
Enregistré le : 26.11.2002 11:29
Localisation : Lost somewhere

Bagle.U (26/03/2004)

Message par totoland » 26.03.2004 14:46

Bagle.U est un virus qui se propage par email. Il se présente sous la forme d'un message dont le titre et le corps sont vides, accompagné d'un fichier joint avec une extension en .EXE (8 Ko). Si ce fichier est exécuté, le virus s'envoie aux adresses présentes dans le carnet d'adresses Windows ainsi que divers autres fichiers, puis installe une porte dérobée autorisant la prise de contrôle à distance par un individu malveillant de l'ordinateur infecté.


TYPE :
Ver

SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003

ALIAS :
Bagle.U (F-Secure)
I-Worm.Bagle.s (Kaspersky)
W32/Bagle.u@MM (McAfee)
W32/Bagle-U (Sophos)
W32.Beagle.U@mm (Symantec)
PE_BAGLE.U (Trend Micro)

TAILLE :
8.208 octets

DECOUVERTE :
26/03/2004

DESCRIPTION DETAILLEE :
Le virus Bagle.U est une variante du virus Bagle..A. Il se présente sous la forme d'un message dont le titre et le corps sont vides, accompagné d'un fichier joint avec un nom aléatoire avec une extension en .EXE.

Si ce fichier est exécuté, le virus se copie dans le répertoire System sous le nom GIGABIT.EXE, lance le jeu de Windows MSHEARTS.EXE pour faire diversion, modifie la base de registres pour être exécuté à chaque démarrage de l'ordinateur, puis s'envoie aux contacts dont les adresses figurent dans le carnet d'adresses Windows ainsi que les fichiers .ADB, .ASP, .CFG, .CGI, .DBX, .DHTM, .EML, .HTM, .HTML, .JSP, .MBX, .MDX, .MHT, .MMF, .MSG, .NCH, .ODS, .OFT, .PHP, .PL, .SHT, .SHTM, .STM, .TBB, .TXT, .UIN, .WSH, .XLS et .XML présents sur le disque avec une adresse d'expéditeur falsifiée.

Bagle.U ouvre également le port TCP 4751 de l'ordinateur, puis tente de se connecter à un site Internet situé en allemagne.
[align=center]"Quand une envie subite de travailler te prend. Allonges-toi et attends que ça passe"

Image[/align]

Avatar du membre
totoland
Administrateur
Administrateur
Messages : 4939
Enregistré le : 26.11.2002 11:29
Localisation : Lost somewhere

Netsky.Q (29/03/2003)

Message par totoland » 29.03.2004 16:25

Netsky.Q est un virus qui se propage par email. Il se présente sous la forme d'un message avec importance haute dont le titre et le corps sont aléatoires, accompagné d'un fichier joint dont l'extension est .SCR, .EXE, .PIF ou .ZIP (28 Ko), en se faisant passer pour un message d'erreur en réponse à un courriel mal adressé ou endommagé. Si l'ordinateur n'est pas à jour dans ses correctifs, la simple ouverture ou prévisualisation du message HTML provoque l'exécution du fichier joint. Si ce dernier est exécuté, le virus s'envoie aux adresses présentes dans le carnet d'adresses Windows et divers autres fichiers, puis lance une attaque contre plusieurs sites web.


TYPE :
Ver

SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003

ALIAS :
NetSky.Q (F-Secure)
I-Worm.Moodown.r (Kaspersky)
I-Worm.Netsky.r (Kaspersky)
W32/Netsky.q@MM (McAfee)
W32/Netsky.Q.worm (Panda Software)
W32/Netsky-Q (Sophos)
W32.Netsky.Q@mm (Symantec)
WORM_NETSKY.Q (Trend Micro)
Worm.SomeFool.Q
W32/BinNote.a@MM

TAILLE :
28.008 octets

DECOUVERTE :
28/03/2004

DESCRIPTION DETAILLEE :
Le virus Netsky.Q est une variante du virus Netsky.P. Il se présente sous la forme d'un message dont le titre, le corps et le nom du fichier joint sont aléatoires. Les titres de message :

* Deliver Mail [adresse du destinataire]
* Delivered Message [adresse du destinataire]
* Delivery [adresse du destinataire]
* Delivery Bot [adresse du destinataire]
* Delivery Error [adresse du destinataire]
* Delivery Failed [adresse du destinataire]
* Delivery Failure [adresse du destinataire]
* Error [adresse du destinataire]
* Failed [adresse du destinataire]
* Failure [adresse du destinataire]
* Mail Delivery failure [adresse du destinataire]
* Mail Delivery System [adresse du destinataire]
* Mail System [adresse du destinataire]
* Server Error [adresse du destinataire]
* Status [adresse du destinataire]
* Unknown Exception [adresse du destinataire]

Le corps du message est un court texte en anglais destiné à inciter l'internaute à ouvrir le fichier joint :

* Received message has been sent as a binary file.
* Modified message has been sent as a binary attachment.
* Received message has been sent as an encoded attachment.
* Translated message has been attached.
* Message has been sent as a binary attachment.
* Received message has been attached.
* Partial message is available and has been sent as a binary attachment.
* The message has been sent as a binary attachment.
* Delivery Agent - Translation failed
* Delivery Failure - Invalid mail specification
* Mail Delivery Failure - This mail couldn't be shown
* Mail Delivery System - This mail contains binary characters
* Mail Transaction Failed - This mail couldn't be converted
* Mail Delivery Error - This mail contains unicode characters
* Mail Delivery Failed - This mail couldn't be represented
* Mail Delivery - This mail couldn't be displayed

La pièce jointe possède un nom aléatoire et une extension en .SCR, .EXE, .PIF ou .ZIP :

* mail6300.zip
* message.pif
* data6694.pif
* message3637.pif
* data11193.zip
* mail[nombres aléatoires]
* message[nombres aléatoires]
* msg[nombres aléatoires]
* Note[nombres aléatoires]
* data[nombres aléatoires]

Le message au format HTML exploite la vulnérabilité MS01-020 d'Internet Explorer 5.01 et 5.5 (09/03/01) : si l'ordinateur n'est pas à jour dans ses correctifs, la simple ouverture ou prévisualisation du message provoque l'exécution du fichier joint. Si le fichier joint est exécuté, le virus se copie dans le répertoire Windows sous le nom SysMonXP.exe, copie également les fichiers base64.tmp, firewalllogger.txt, zipo0.txt, zipo1.txt, zipo2.txt, zipo3.txt et zippedbase64.tmp (des composants du virus) dans ce répertoire, modifie la base de registres pour être exécuté à chaque démarrage de l'ordinateur, puis s'envoie aux contacts dont les adresses figurent dans le carnet d'adresses Windows (.WAB) ainsi que les fichiers .ADB, .ASP, .CGI, .DBX, .DHTM, .DOC, .EML, .JSP, .HTM, .HTML, .MSG, .OFT, .PHP, .PL, .RFT, .SHT, .SHTM, .TBB, .TXT, .UIN, .VBS, .WSH et .XML des disques C à Z, en utilisant comme adresse d'expéditeur une adresse usurpée ou falsifiée mais en évitant les adresses dont le nom de domaine contient "abuse", "fbi", "orton, "f-pro", "aspersky", "cafee", "orman", "itdefender", f-secur", "avp", "skynet", "spam", "messagelabs", "ymantec", "antivi" et "icrosoft".

SysMonXP.exe est un composant "dropper" qui lorsqu'il est exécuté créé puis charge en mémoire le composant principal du virus dissimulé dans le fichier firewalllogger.txt (en réalité une DLL), responsable de l'envoi massif de messages contaminés. Netsky.Q tente de supprimer plusieurs clés de la base de registres, afin de désactiver certains virus concurrents appartenant aux familles Bagle, Nachi, et Mydoom s'ils sont présents sur la machine infectée. Le virus est conçu pour faire beeper l'ordinateur lorsque la pendule du système indique le 30/03/04 et lancera une attaque DoS contre les sites www.edonkey2000.com, www.kazaa.com, www.emule-project.net, www.cracks.am et www.cracks.st les 8, 9 10 et 11 avril 2004.
[align=center]"Quand une envie subite de travailler te prend. Allonges-toi et attends que ça passe"

Image[/align]

Avatar du membre
totoland
Administrateur
Administrateur
Messages : 4939
Enregistré le : 26.11.2002 11:29
Localisation : Lost somewhere

Sober.F (04/04/2004)

Message par totoland » 05.04.2004 08:50

Sober.F est un virus qui se propage par email. Il se présente sous la forme d'un message en anglais ou en allemand dont le titre et le corps sont aléatoires, accompagné d'un fichier joint avec une extension en .PIF ou .ZIP (42 Ko), en tentant de se faire passer pour un message d'erreur ou d'un ami. Si le fichier joint est exécuté, le virus s'envoie aux adresses présentes dans le carnet d'adresses Windows et divers autres fichiers du disque dur, puis tente de télécharger et d'exécuter un fichier situé sur un site web distant.


TYPE :
Ver

SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003

ALIAS :
Win32.Sober.F@mm (Bit Defender)
I-Worm.Sober.F (Kaspersky)
Sober.F (F-Secure)
W32/Sober.f@MM (McAfee)
W32.Sober.F@mm (Symantec)
WORM_SOBER.F (Trend Micro)

TAILLE :
42.496 octets

DECOUVERTE :
04/04/2004

DESCRIPTION DETAILLEE :
Sober.F est une variante du virus Sober.E qui se présente sous la forme d'un message en anglais ou en allemand, dont le titre est aléatoire :

* Oh my God
* Hey
* Hi!
* Hi, it's me
* hey you
* damn!
* Well, surprised?
* Info
* Information
* Faulty mail delivery
* Mail delivery failed
* # Mail Error
* Illegal signs in Mail-Routing
* Connection failed
* Invalid mail sentence length
* Mail Delivery failure
* Message Error
* mail delivery status
* Confirmation Required
* Bad Gateway
* Warning!
* Your document
* Einzelheiten
* Hallo Du!
* Hallo!
* Hey Du
* Hi, Ich bin's
* Ich bin es .-)
* Verdammt
* Na, berrascht?!
* Info
* Information
* Fehlerhafte Mailzustellung
* Mailzustellung fehlgeschlagen
* Fehler
* Illegale Zeichen in Mail-Routing
* Verbindung fehlgeschlagen
* Ung
* Fehler in E-Mail
* Besttigung
* Registrierungs-Besttigung
* Ihr neues Passwort
* Ihr Passwort
* Datenbank-Fehler
* Warnung!
* Details

Le corps du message est aléatoire :

* Faulty mail delivery
* Mail delivery failed
* Mail Error
* Illegal signs in Mail-Routing
* Connection failed
* Invalid mail sentence length
* Mail Delivery failure
* Message Error
* mail delivery status
* Confirmation Required
* Bad Gateway
* Warning!
* Your document
* I was surprised, too! :-(
Who could suspect something like that?
* shock
* All OK :)
* Police
* see, what i've found!
* Textdocument
* hi its me
i've found a shity virus on my pc. check your pc, too!
follow the steps in this article.
* anitv_text
* instructions
* your_article
* Registration confirmation
* I 've told you!:-) sometime I grab your passwords!
* your_passwords
* I hope you accept the result!
* Follow the instructions to read the message.
* Please read the document
* messagedoc
* webmaster
* admin
* information
* Confirmation
* Your Password
* Your mail account
* Your password was changed successfully.
* Protected message is attached.
* ++++ Service: http://www.
* ++++ Mail To: User-info
* User-info
* account
* pass-message
* Money-Help
* *** Auto Mail Delivery System ***
67.28.114.32_failed_after_I_sent_the_message./Remote_host_said: _554_delivery_error:_dd_Sorry_your_message_cannot_be_delivered. _This_account_has_been_disabled_or_discontinued_[#102]._-_ mta134.mail.dcn.com
** End of Transmission
* The original message is a separate attachment.
* --- Mail To: UserHelp ·Error_Info
_attach
Read the attachment for details.
Bad Gateway: The message has been attached.
+++ A service of
+++ Mail: home
* -attachment
* The message has been attached.
* attach-message
* Database #Error
* -- Partial message is available!
-- Error: llegal signs in Mail-Routing
-- Mail Server: ESMTP VX32.9 Version Betha Alpha
* database
* error
* database_partial
* partial
* error-message
* message
* Anybody use your accounts!
* For further details see the attachment.
* check_this
* I have received your document. The corrected document is attached.
* greets
* corrected_text-file
* Mail- Attachment: No suspicious Virus signatures
Mail Scanner: No Virus found
Anti-Virus: No Virus!
* ..

La pièce jointe possède un nom aléatoire et une extension en .PIF ou .ZIP :

* anitv_text
* instructions
* your_article
* your_passwords
* messagedoc
* corrected_text-file
* attach-message
* -attachment
* _attach
* pass-message
* text
* Textdocument

Si ce fichier est exécuté, le virus se copie dans le répertoire System de Windows sous un nom aléatoire, copie également au même endroit les fichiers BCEGFDS.LLL, SPOOFED_RECIPS.OCX, SYST32WIN.DLL, WINHEX32XX.WRM, WINSYS32XX.ZZP, ZHCARXXI.VVX et ZMNDPGWF.KXX, lance le Notepad de Windows (notepad.exe) en simulant l'ouverture d'un document altéré, modifie la base de registres pour s'exécuter automatiquement au prochain démarrage de l'ordinateur, s'envoie aux contacts présents dans le carnet d'adresses Windows, ainsi qu'aux adresses email collectées dans divers autres fichiers de l'ordinateur infecté (.ABC, .ABD, .ABX, .ADB, .ADE, .ADP, .ADR, .ASP, .BAS, .CFG, .CGI, .CLS, .CTL, .DBX, .DHTM, .DOC, .DSP, .DSW, .EML, .FDB, .FRM, .HLP, .INI, .JSP, .LDB, .LDIF, .LOG, .MBX, .MDA, .MDB, .MDE, .MDW, .MDX, .MHT, .MMF, .MSG, .NAB, .NCH, .NFO, .NSF, .ODS, .OFT, .PHP, .PL, .PP, .PPT, .PST, .RTF, .SHTML, .SLN, .TBB, .TXT, .UIN, .VAP, .VBS, .WSH, .XLS, .XML) en utilisant une adresse d'expéditeur usurpée ou falsifiée, puis tente de télécharger et d'exécuter un fichier situé sur un site web distant.
[align=center]"Quand une envie subite de travailler te prend. Allonges-toi et attends que ça passe"

Image[/align]

Avatar du membre
totoland
Administrateur
Administrateur
Messages : 4939
Enregistré le : 26.11.2002 11:29
Localisation : Lost somewhere

Netsky.X (20/04/2004)

Message par totoland » 20.04.2004 18:44

Netsky.X est un virus qui se propage par email. Il se présente sous la forme d'un message dont le titre et le corps sont aléatoires, accompagné d'un fichier joint dont l'extension est .PIF (26 Ko). Rédigé dans les principales langues européennes, il tente de se faire passer pour un document à lire. Si le fichier joint est exécuté, le virus s'envoie aux adresses présentes dans le carnet d'adresses Windows et divers autres fichiers, ouvre une porte dérobée sur le port TCP 82, puis lance une attaque contre plusieurs sites web.


TYPE :
Ver

SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003

ALIAS :
Win32.Netsky.X (Computer Associates)
NetSky.X (F-Secure)
I-Worm.Netsky.y (Kaspersky)
W32/Netsky.x@MM (McAfee)
W32/Netsky.X.worm (Panda Software)
W32/Netsky-Y (Sophos)
W32.Netsky.X@mm (Symantec)
WORM_NETSKY.X (Trend Micro)
Worm.SomeFool.X

TAILLE :
26.112 octets

DECOUVERTE :
20/04/2004

DESCRIPTION DETAILLEE :
Le virus Netsky.X se présente sous la forme d'un message dont le titre, le corps et le nom du fichier joint sont aléatoires, rédigé dans une langue européenne (anglais, français, allemand, italien, portugais, suédois, finlandais, polonais ou norvégien). Les titres de message :

* Re: document
* Re: belge
* Re: dokumenten
* Re: dokumentoida
* Re: udokumentowac
* Re: dokumentet
* Re: original
* Re: documento
* Re: dokument

Le corps du message est un court texte destiné à inciter l'internaute à ouvrir le fichier joint :

* Please read the document
* Bitte lesen Sie das Dokument.
* Veuillez lire le document.
* Legga prego il documento.
* Leia por favor o original.
* Behage lese dokumentet.
* Podobac sie przeczytac ten udokumentowac.
* Haluta kuulua dokumentoida.
* mutlu etmek okumak belgili tanimlik belge.

La pièce jointe possède une extension en .PIF :

* document.pif
* dokument.pif
* documento.pif
* original.pif
* dokumentet.pif
* udokumentowac.pif
* dokumentoida.pif
* dokumenten.pif
* belge.pif

Si le fichier joint est exécuté, le virus se copie dans le répertoire Windows sous le nom FirewallSvr.exe, copie également le fichier fuck_you_bagle.txt dans ce répertoire, modifie la base de registres pour être exécuté à chaque démarrage de l'ordinateur, puis s'envoie aux contacts dont les adresses figurent dans le carnet d'adresses Windows (.WAB) ainsi que les fichiers .ADB, .ASP, .CFG, .CGI, .DBX, .DHTM, .DOC, .EML, .HTM, .HTML, .JSP, .MBX, .MDX, .MHT, .MMF, .MSG, .NCH, .ODS, .OFT, .PHP, .PL, .PPT, .RFT, .SHT, .SHTM, .TBB, .TXT, .UIN, .VBS, .WSH et .XML des disques C à Z, en utilisant comme adresse d'expéditeur une adresse usurpée ou falsifiée.Il est conçu pour lancer une attaque DoS contre les sites www.educa.ch, www.nedinfo.ufl.edu et www.nibis.de entre le 28 et le 30 avril 2004.
[align=center]"Quand une envie subite de travailler te prend. Allonges-toi et attends que ça passe"

Image[/align]

Avatar du membre
totoland
Administrateur
Administrateur
Messages : 4939
Enregistré le : 26.11.2002 11:29
Localisation : Lost somewhere

Bagle.Y [W, Z] (26/04/2004)

Message par totoland » 26.04.2004 22:05

Bagle.Y est un virus qui se propage par email et via les dossiers partagés. Il se présente sous la forme d'un message dont le titre et le corps sont aléatoires, accompagné d'un fichier joint avec une extension en .COM, .CPL, .EXE, .HTA, .SCR, .VBS ou .ZIP (39 à 129 Ko) ainsi parfois d'une image. Si ce fichier est exécuté, le virus s'envoie aux adresses présentes dans le carnet d'adresses Windows ainsi que divers autres fichiers, tente de désactiver certains antivirus et pare-feux personnels, installe une porte dérobée, puis tente le cas échéant de se copier dans les dossiers partagés.


TYPE :
Ver

SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003

ALIAS :
Bagle.Y (F-Secure)
I-Worm.Bagle.y (Kaspersky)
W32/Bagle.z@MM (McAfee)
W32/Bagle-W (Sophos)
W32.Beagle.W@mm (Symantec)
PE_BAGLE.X (Trend Micro)

TAILLE :
39 à 129 octets (variable)

DECOUVERTE :
26/04/2004

DESCRIPTION DETAILLEE :
Le virus Bagle.Y se présente sous la forme d'un message dont le corps ets vide et l'objet aléatoire :

* Hello!
* Hey!
* Let's socialize, my friend!
* Let's talk, my friend!
* I'm bored with this life
* Notify from a known person ;-)
* I like you
* I just need a friend
* I'm a sad girl...
* Re: Msg reply
* Re: Hello
* Re: Yahoo!
* Re: Thank you!
* Re: Thanks :)
* RE: Text message
* Re: Document
* Incoming message
* Re: Incoming Message
* Re: Incoming Fax
* Hidden message
* Fax Message Received
* Protected message
* RE: Protected message
* Forum notify
* Request response
* Site changes
* Re: Hi
* Encrypted document

Le corps du message est variable, en anglais, et tente notamment de faire passer pour une petite annonce :

* I study at school, I like to spend time cheerfully even if not all so well, I hompe and trust, that all bad when nibud will pass and necessarily nastanet there would be a desire.
* I like to feel protected, to understand, that near to me the man, which both in sex, and in life knows what to do. It is possible to fall in love with such the man for ever.
* Cometime I write a poem, play the gitar. I love a traveling, I like a romantice and I want to meet, comeday, my big love!
* I am kind, fair, careful, gentle also want to create family. I love animal (cats, dogs), the literature, theatre, cinema, music, walks in park .
* I very much love productive leisure, to prepare for new exotic dishes, at leisure to leave with friends on the nature, to float, I like to go for a drive on mountain skiing, to visit excursions, travel. Very easy going.
* I have recently got demobilize from army and also I am going to act in a higher educational institution
* Searching for the right person,for real man, who will really cares and love me.
* I am a honest, kind,loving,with good sense of humor...etc.,looking for true love... or maybe for pen friend.I like cats.
* I am looking for a serious relationship. I am NOT interested in flirt and short-term love adventure.
* I love, as the good company, and I dream about romantic appointment at candles with loved. I still believe in love.
* I like an active life... and interesting people...
* i am honest, responsible, romantic person. iwould like to find my only love,to find my destiny.
* I'm a young lady of 20 years old i'd like to find my second part!!!
* I am simple girl who are looking for serious relation with responsible and confident man. I am ready to give all my love and carering for a right person who is going to love and respect me
* I am a beautiful, sexual girl with very big ambitions and dreams. I can make happy anyone man...
* I am a student. I'm studying international relationships. I would like to find an interesting and active man for serious relations. Sitting at home it is not for me. I like to go out to the theater, cinema, and nightclubs.
* I love productive leisure, to travel, communicate with friends.
* I very much love new acquaintances, I love music, meetings with friends. I go on night clubs, except for parties I sometimes visit theatres and I love cinema. In general I only shall be glad to new acquaintance and class dialogue...
* I'm so bored, let me talk with you...
* You are my prince :-)
* You are cool :-)

Le fichier joint possède un nom aléatoire avec une extension en .COM, .CPL, .EXE, .HTA, .SCR, .VBS ou .ZIP et peut être accompaén d'une image. Les noms de fichier possibles :

* Attach
* Information
* Readme
* Document
* Info
* TextDocument
* TextFile
* MoreInfo
* Message

Si ce fichier est exécuté, un message d'erreur affiche "Can't find a viewer associated with the file.", le virus se copie dans le répertoire système sous le nom drvsys.exe, ainsi que les fichiers drvsys.exeopen et drvsys.exeopenopen, modifie la base de registres afin d'être exécuté à chaque démarrage de l'ordinateur, puis s'envoie automatiquement aux contacts dont les adresses figurent dans le carnet d'adresses Windows ainsi que les fichiers .ADB, .ASP, .CFG, .CGI, .DBX, .DHTM, .EML, .HTM, .JSP, .MBX, .MDX, .MHT, .MMF, .MSG, .NCH, .ODS, .OFT, .PHP, .PL, .SHT, .STM, .TBB, .SHTM, .TXT, .UIN, .WSH, .XLS et .XML présents sur le disque dur avec une adresse d'expéditeur falsifiée. Bagle.Y installe une porte dérobée qui ouvre le port TCP 2535 de l'ordinateur infecté, puis tente de terminer les processus suivants pour empêcher l'utilisation ou la mise à jour des logiciels de sécurité correspondants :

* AGENTSVR.EXE
* ANTI-TROJAN.EXE
* ANTIVIRUS.EXE
* ANTS.EXE
* APIMONITOR.EXE
* APLICA32.EXE
* APVXDWIN.EXE
* ATCON.EXE
* ATGUARD.EXE
* ATRO55EN.EXE
* ATUPDATER.EXE
* ATWATCH.EXE
* AUPDATE.EXE
* AUTODOWN.EXE
* AUTOTRACE.EXE
* AUTOUPDATE.EXE
* AVCONSOL.EXE
* AVGSERV9.EXE
* AVLTMAIN.EXE
* AVPUPD.EXE
* AVSYNMGR.EXE
* AVWUPD32.EXE
* AVXQUAR.EXE
* AVprotect9x.exe
* BD_PROFESSIONAL.EXE
* BIDEF.EXE
* BIDSERVER.EXE
* BIPCP.EXE
* BIPCPEVALSETUP.EXE
* BISP.EXE
* BLACKD.EXE
* BLACKICE.EXE
* BOOTWARN.EXE
* BORG2.EXE
* BS120.EXE
* CDP.EXE
* CFGWIZ.EXE
* CFIADMIN.EXE
* CFIAUDIT.EXE
* CFINET.EXE
* CFINET32.EXE
* CLEAN.EXE
* CLEANER.EXE
* CLEANER3.EXE
* CLEANPC.EXE
* CMGRDIAN.EXE
* CMON016.EXE
* CPD.EXE
* CPF9X206.EXE
* CPFNT206.EXE
* CV.EXE
* CWNB181.EXE
* CWNTDWMO.EXE
* DEFWATCH.EXE
* DEPUTY.EXE
* DPF.EXE
* DPFSETUP.EXE
* DRWATSON.EXE
* DRWEBUPW.EXE
* ENT.EXE
* ESCANH95.EXE
* ESCANHNT.EXE
* ESCANV95.EXE
* EXANTIVIRUS-CNET.EXE
* FAST.EXE
* FIREWALL.EXE
* FLOWPROTECTOR.EXE
* FP-WIN_TRIAL.EXE
* FRW.EXE
* FSAV.EXE
* FSAV530STBYB.EXE
* FSAV530WTBYB.EXE
* FSAV95.EXE
* GBMENU.EXE
* GBPOLL.EXE
* GUARD.EXE
* GUARDDOG.EXE
* HACKTRACERSETUP.EXE
* HTLOG.EXE
* HWPE.EXE
* IAMAPP.EXE
* IAMSERV.EXE
* ICLOAD95.EXE
* ICLOADNT.EXE
* ICMON.EXE
* ICSSUPPNT.EXE
* ICSUPP95.EXE
* ICSUPPNT.EXE
* IFW2000.EXE
* IPARMOR.EXE
* IRIS.EXE
* JAMMER.EXE
* KAVLITE40ENG.EXE
* KAVPERS40ENG.EXE
* KERIO-PF-213-EN-WIN.EXE
* KERIO-WRL-421-EN-WIN.EXE
* KERIO-WRP-421-EN-WIN.EXE
* KILLPROCESSSETUP161.EXE
* LDPRO.EXE
* LOCALNET.EXE
* LOCKDOWN.EXE
* LOCKDOWN2000.EXE
* LSETUP.EXE
* LUALL.EXE
* LUCOMSERVER.EXE
* LUINIT.EXE
* MCAGENT.EXE
* MCUPDATE.EXE
* MFW2EN.EXE
* MFWENG3.02D30.EXE
* MGUI.EXE
* MINILOG.EXE
* MOOLIVE.EXE
* MRFLUX.EXE
* MSCONFIG.EXE
* MSINFO32.EXE
* MSSMMC32.EXE
* MU0311AD.EXE
* NAV80TRY.EXE
* NAVAPW32.EXE
* NAVDX.EXE
* NAVSTUB.EXE
* NAVW32.EXE
* NC2000.EXE
* NCINST4.EXE
* NDD32.EXE
* NEOMONITOR.EXE
* NETARMOR.EXE
* NETINFO.EXE
* NETMON.EXE
* NETSCANPRO.EXE
* NETSPYHUNTER-1.2.EXE
* NETSTAT.EXE
* NISSERV.EXE
* NISUM.EXE
* NMAIN.EXE
* NORTON_INTERNET_SECU_3.0_407.EXE
* NPF40_TW_98_NT_ME_2K.EXE
* NPFMESSENGER.EXE
* NPROTECT.EXE
* NSCHED32.EXE
* NTVDM.EXE
* NUPGRADE.EXE
* NVARCH16.EXE