Alertes VIRUS

Ce forum est consacré aux questions sur tous type de "BUGS" rencontrés sur nos chers PC: Virus, DirectX pas a jour, logiciels qui plantes, etc...

Modérateurs : TEAM THE C@TZ, MODERATEURS

Avatar du membre
totoland
Administrateur
Administrateur
Messages : 4939
Enregistré le : 26.11.2002 11:29
Localisation : Lost somewhere

Netsky.P (23/03/2004)

Message par totoland » 22.03.2004 19:38

Netsky.P est un virus qui se propage par email et via les dossiers partagés. Il se présente sous la forme d'un message au format texte ou HTML dont le titre et le corps sont aléatoires, accompagné d'un fichier joint dont l'extension est .SCR, .EXE, .PIF ou .ZIP (29 Ko), en se faisant passer notamment pour un message d'erreur ou un message sécurisé. Si l'ordinateur n'est pas à jour dans ses correctifs, la simple ouverture ou prévisualisation du message HTML provoque l'exécution du fichier joint. Si ce dernier est exécuté, le virus s'envoie aux adresses présentes dans le carnet d'adresses Windows et divers autres fichiers du disque, puis se copie dans les dossiers partagés.


TYPE :
Ver

SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003

ALIAS :
Moodown.P (F-Secure)
I-Worm.Moodown.p (Kaspersky)
I-Worm.Netsky.p (Kaspersky)
W32/Netsky.p@MM (McAfee)
W32.Netsky.P@mm (Symantec)
W32.Netsky.Gen@mm (Symantec)
WORM_NETSKY.P (Trend Micro)
Worm.SomeFool.P
Worm.SomeFool.Gen

TAILLE :
29.568 octets

DECOUVERTE :
21/03/2004

DESCRIPTION DETAILLEE :
Le virus Netsky.P est une variante du virus Netsky.D. Il se présente sous la forme d'un message dont le titre, le corps et le nom du fichier joint sont aléatoires. Les titres de message :

* Stolen document
* Re:Hello
* Mail Delivery ( failure [votre adresse email])
* Private document
* Re:Notify
* Re:document
* Re:Extended Mail System
* Re:Proctected Mail System
* Re:Question
* Private document
* Postcard
* Re: Encrypted Mail
* Re: Extended Mail
* Re: Status
* Re: Notify
* Re: SMTP Server
* Re: Mail Server
* Re: Delivery Server
* Re: Bad Request
* Re: Failure
* Re: Thank you for delivery
* Re: Test
* Re: Administration
* Re: Message Error
* Re: Error
* Re: Extended Mail System
* Re: Secure SMTP Message
* Re: Protected Mail Request
* Re: Protected Mail System
* Re: Protected Mail Delivery
* Re: Secure delivery
* Re: Delivery Protection
* Re: Mail Authentification
* Re: Encrypted Mail
* Re: Extended Mail
* Re: Status
* Re: Notify
* Re: SMTP Server
* Re: Mail Server
* Re: Delivery Server
* Re: Bad Request
* Re: Failure
* Re: Thank you for delivery
* Re: Test
* Re: Administration
* Re: Message Error
* Re: Error
* Re: Extended Mail System
* Re: Secure SMTP Message
* Re: Protected Mail Request
* Re: Protected Mail System
* Re: Protected Mail Delivery
* Re: Secure delivery
* Re: Delivery Protection
* Re: Mail Authentification

Le corps du message est un court texte en anglais destiné à inciter l'internaute à ouvrir le fichier joint :

* I found this document about you.
* I have attached it to this mail.
* Waiting for authentification.
* Please confirm!
* Protected message is available
* Do not visit this illegal websites!
* Here is my phone number.
* I cannot believe that.
* Your file is attached.
* For further details see that attachment.
* Congratulations!, your best friend.
* Greetings from france, your friend.
* If the message will not displayed automatically, follow the link to read the delivered message. Received message is available at: [adresse internet factive contenant le nom de domaine de votre adresse email]

Le corps du message se termine souvent par une fausse certification affirmant que le message est sain et dépourvu de virus :

* +++ Attachment: No Virus found
+++ MessageLabs AntiVirus - www.messagelabs.com
* +++ Attachment: No Virus found
+++ Bitdefender AntiVirus - www.bitdefender.com
* +++ Attachment: No Virus found
+++ MC-Afee AntiVirus - www.mcafee.com
* +++ Attachment: No Virus found
+++ Kaspersky AntiVirus - www.kaspersky.com
* +++ Attachment: No Virus found
+++ Panda AntiVirus - www.pandasoftware.com
* ++++ Attachment: No Virus found
++++ Norman AntiVirus - www.norman.com
* ++++ Attachment: No Virus found
++++ F-Secure AntiVirus - www.f-secure.com
* ++++ Attachment: No Virus found
++++ Norton AntiVirus - www.symantec.de

La pièce jointe possède un nom aléatoire et une extension en .SCR, .EXE, .PIF ou .ZIP :

* websites[nombre aléatoire].zip
* document[nombre aléatoire].zip
* your_document.zip
* part[nombre aléatoire].zip
* message.doc.scr
* message.zip
* document.zip
* old_photos.txt.pif
* postcard_.[nombre aléatoire]..zip
* details[nombre aléatoire].zip

Le message au format HTML exploite la vulnérabilité MS01-020 d'Internet Explorer 5.01 et 5.5 (09/03/01) : si l'ordinateur n'est pas à jour dans ses correctifs de sécurité, la simple ouverture ou prévisualisation du message provoque l'exécution du fichier joint. Si le fichier joint est exécuté, le virus se copie dans le répertoire Windows sous le nom FVProtect.exe, copie également les fichiers userconfig9x.dll, base64.tmp, zip1.tmp, zip2.tmp, zip3.tmp et zipped.tmp (des copies de lui-même) dans ce répertoire, modifie la base de registres pour être exécuté à chaque démarrage de l'ordinateur, puis s'envoie aux contacts dont les adresses figurent dans le carnet d'adresses Windows (.WAB) ainsi que les fichiers .ADB, .ASP, .CGI, .DBX, .DHTM, .DOC, .EML, .JSP, .HTM, .HTML, .MSG, .OFT, .PHP, .PL, .RFT, .SHT, .SHTM, .TBB, .TXT, .UIN, .VBS, .WSH et .XML des disques C à Z, en utilisant comme adresse d'expéditeur une adresse usurpée ou falsifiée mais en évitant les adresses dont le nom de domaine contient "abuse", "fbi", "orton, "f-pro", "aspersky", "cafee", "orman", "itdefender", f-secur", "avp", "skynet", "spam", "messagelabs", "ymantec", "antivi" et "icrosoft".

Netsky.P supprime plusieurs clés de la base de registres, notamment pour désactiver certaines variantes des virus Bagle, Nachi, et Mydoom, puis tente de se propager via les dossiers partagés se copiant dans les répertoires dont le nom comporte le mot "bear", "donkey", "download", "ftp", "htdocs", "http", "icq", "kazaa", "lime", "morpheus", "mule", "my shared folder", "shar", "shared files" ou "upload" sous divers noms aguicheurs :

* 1001 Sex and more.rtf.exe
* 3D Studio Max 6 3dsmax.exe
* ACDSee 10.exe
* Adobe Photoshop 10 crack.exe
* Adobe Photoshop 10 full.exe
* Adobe Premiere 10.exe
* Ahead Nero 8.exe
* Altkins Diet.doc.exe
* American Idol.doc.exe
* Arnold Schwarzenegger.jpg.exe
* Best Matrix Screensaver new.scr
* Britney sex xxx.jpg.exe
* Britney Spears and Eminem porn.jpg.exe
* Britney Spears blowjob.jpg.exe
* Britney Spears cumshot.jpg.exe
* Britney Spears fuck.jpg.exe
* Britney Spears full album.mp3.exe
* Britney Spears porn.jpg.exe
* Britney Spears Sexy archive.doc.exe
* Britney Spears Song text archive.doc.exe
* Britney Spears.jpg.exe
* Britney Spears.mp3.exe
* Clone DVD 6.exe
* Cloning.doc.exe
* Cracks & Warez Archiv.exe
* Dark Angels new.pif
* Dictionary English 2004 - France.doc.exe
* DivX 8.0 final.exe
* Doom 3 release 2.exe
* E-Book Archive2.rtf.exe
* Eminem blowjob.jpg.exe
* Eminem full album.mp3.exe
* Eminem Poster.jpg.exe
* Eminem sex xxx.jpg.exe
* Eminem Sexy archive.doc.exe
* Eminem Song text archive.doc.exe
* Eminem Spears porn.jpg.exe
* Eminem.mp3.exe
* Full album all.mp3.pif
* Gimp 1.8 Full with Key.exe
* Harry Potter 1-6 book.txt.exe
* Harry Potter 5.mpg.exe
* Harry Potter all e.book.doc.exe
* Harry Potter e book.doc.exe
* Harry Potter game.exe
* Harry Potter.doc.exe
* How to hack new.doc.exe
* Internet Explorer 9 setup.exe
* Kazaa Lite 4.0 new.exe
* Kazaa new.exe
* Keygen 4 all new.exe
* Learn Programming 2004.doc.exe
* Lightwave 9 Update.exe
* Magix Video Deluxe 5 beta.exe
* Matrix.mpg.exe
* Microsoft Office 2003 Crack best.exe
* Microsoft WinXP Crack full.exe
* MS Service Pack 6.exe
* netsky source code.scr
* Norton Antivirus 2005 beta.exe
* Opera 11.exe
* Partitionsmagic 10 beta.exe
* Porno Screensaver britney.scr
* RFC compilation.doc.exe
* Ringtones.doc.exe
* Ringtones.mp3.exe
* Saddam Hussein.jpg.exe
* Screensaver2.scr
* Serials edition.txt.exe
* Smashing the stack full.rtf.exe
* Star Office 9.exe
* Teen Porn 15.jpg.pif
* The Sims 4 beta.exe
* Ulead Keygen 2004.exe
* Visual Studio Net Crack all.exe
* Win Longhorn re.exe
* WinAmp 13 full.exe
* Windows 2000 Sourcecode.doc.exe
* Windows 2003 crack.exe
* Windows XP crack.exe
* WinXP eBook newest.doc.exe
* XXX hardcore pics.jpg.exe
Modifié en dernier par totoland le 26.03.2004 15:28, modifié 1 fois.
[align=center]"Quand une envie subite de travailler te prend. Allonges-toi et attends que ça passe"

Image[/align]

Avatar du membre
totoland
Administrateur
Administrateur
Messages : 4939
Enregistré le : 26.11.2002 11:29
Localisation : Lost somewhere

Bagle.U (26/03/2004)

Message par totoland » 26.03.2004 14:46

Bagle.U est un virus qui se propage par email. Il se présente sous la forme d'un message dont le titre et le corps sont vides, accompagné d'un fichier joint avec une extension en .EXE (8 Ko). Si ce fichier est exécuté, le virus s'envoie aux adresses présentes dans le carnet d'adresses Windows ainsi que divers autres fichiers, puis installe une porte dérobée autorisant la prise de contrôle à distance par un individu malveillant de l'ordinateur infecté.


TYPE :
Ver

SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003

ALIAS :
Bagle.U (F-Secure)
I-Worm.Bagle.s (Kaspersky)
W32/Bagle.u@MM (McAfee)
W32/Bagle-U (Sophos)
W32.Beagle.U@mm (Symantec)
PE_BAGLE.U (Trend Micro)

TAILLE :
8.208 octets

DECOUVERTE :
26/03/2004

DESCRIPTION DETAILLEE :
Le virus Bagle.U est une variante du virus Bagle..A. Il se présente sous la forme d'un message dont le titre et le corps sont vides, accompagné d'un fichier joint avec un nom aléatoire avec une extension en .EXE.

Si ce fichier est exécuté, le virus se copie dans le répertoire System sous le nom GIGABIT.EXE, lance le jeu de Windows MSHEARTS.EXE pour faire diversion, modifie la base de registres pour être exécuté à chaque démarrage de l'ordinateur, puis s'envoie aux contacts dont les adresses figurent dans le carnet d'adresses Windows ainsi que les fichiers .ADB, .ASP, .CFG, .CGI, .DBX, .DHTM, .EML, .HTM, .HTML, .JSP, .MBX, .MDX, .MHT, .MMF, .MSG, .NCH, .ODS, .OFT, .PHP, .PL, .SHT, .SHTM, .STM, .TBB, .TXT, .UIN, .WSH, .XLS et .XML présents sur le disque avec une adresse d'expéditeur falsifiée.

Bagle.U ouvre également le port TCP 4751 de l'ordinateur, puis tente de se connecter à un site Internet situé en allemagne.
[align=center]"Quand une envie subite de travailler te prend. Allonges-toi et attends que ça passe"

Image[/align]

Avatar du membre
totoland
Administrateur
Administrateur
Messages : 4939
Enregistré le : 26.11.2002 11:29
Localisation : Lost somewhere

Netsky.Q (29/03/2003)

Message par totoland » 29.03.2004 16:25

Netsky.Q est un virus qui se propage par email. Il se présente sous la forme d'un message avec importance haute dont le titre et le corps sont aléatoires, accompagné d'un fichier joint dont l'extension est .SCR, .EXE, .PIF ou .ZIP (28 Ko), en se faisant passer pour un message d'erreur en réponse à un courriel mal adressé ou endommagé. Si l'ordinateur n'est pas à jour dans ses correctifs, la simple ouverture ou prévisualisation du message HTML provoque l'exécution du fichier joint. Si ce dernier est exécuté, le virus s'envoie aux adresses présentes dans le carnet d'adresses Windows et divers autres fichiers, puis lance une attaque contre plusieurs sites web.


TYPE :
Ver

SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003

ALIAS :
NetSky.Q (F-Secure)
I-Worm.Moodown.r (Kaspersky)
I-Worm.Netsky.r (Kaspersky)
W32/Netsky.q@MM (McAfee)
W32/Netsky.Q.worm (Panda Software)
W32/Netsky-Q (Sophos)
W32.Netsky.Q@mm (Symantec)
WORM_NETSKY.Q (Trend Micro)
Worm.SomeFool.Q
W32/BinNote.a@MM

TAILLE :
28.008 octets

DECOUVERTE :
28/03/2004

DESCRIPTION DETAILLEE :
Le virus Netsky.Q est une variante du virus Netsky.P. Il se présente sous la forme d'un message dont le titre, le corps et le nom du fichier joint sont aléatoires. Les titres de message :

* Deliver Mail [adresse du destinataire]
* Delivered Message [adresse du destinataire]
* Delivery [adresse du destinataire]
* Delivery Bot [adresse du destinataire]
* Delivery Error [adresse du destinataire]
* Delivery Failed [adresse du destinataire]
* Delivery Failure [adresse du destinataire]
* Error [adresse du destinataire]
* Failed [adresse du destinataire]
* Failure [adresse du destinataire]
* Mail Delivery failure [adresse du destinataire]
* Mail Delivery System [adresse du destinataire]
* Mail System [adresse du destinataire]
* Server Error [adresse du destinataire]
* Status [adresse du destinataire]
* Unknown Exception [adresse du destinataire]

Le corps du message est un court texte en anglais destiné à inciter l'internaute à ouvrir le fichier joint :

* Received message has been sent as a binary file.
* Modified message has been sent as a binary attachment.
* Received message has been sent as an encoded attachment.
* Translated message has been attached.
* Message has been sent as a binary attachment.
* Received message has been attached.
* Partial message is available and has been sent as a binary attachment.
* The message has been sent as a binary attachment.
* Delivery Agent - Translation failed
* Delivery Failure - Invalid mail specification
* Mail Delivery Failure - This mail couldn't be shown
* Mail Delivery System - This mail contains binary characters
* Mail Transaction Failed - This mail couldn't be converted
* Mail Delivery Error - This mail contains unicode characters
* Mail Delivery Failed - This mail couldn't be represented
* Mail Delivery - This mail couldn't be displayed

La pièce jointe possède un nom aléatoire et une extension en .SCR, .EXE, .PIF ou .ZIP :

* mail6300.zip
* message.pif
* data6694.pif
* message3637.pif
* data11193.zip
* mail[nombres aléatoires]
* message[nombres aléatoires]
* msg[nombres aléatoires]
* Note[nombres aléatoires]
* data[nombres aléatoires]

Le message au format HTML exploite la vulnérabilité MS01-020 d'Internet Explorer 5.01 et 5.5 (09/03/01) : si l'ordinateur n'est pas à jour dans ses correctifs, la simple ouverture ou prévisualisation du message provoque l'exécution du fichier joint. Si le fichier joint est exécuté, le virus se copie dans le répertoire Windows sous le nom SysMonXP.exe, copie également les fichiers base64.tmp, firewalllogger.txt, zipo0.txt, zipo1.txt, zipo2.txt, zipo3.txt et zippedbase64.tmp (des composants du virus) dans ce répertoire, modifie la base de registres pour être exécuté à chaque démarrage de l'ordinateur, puis s'envoie aux contacts dont les adresses figurent dans le carnet d'adresses Windows (.WAB) ainsi que les fichiers .ADB, .ASP, .CGI, .DBX, .DHTM, .DOC, .EML, .JSP, .HTM, .HTML, .MSG, .OFT, .PHP, .PL, .RFT, .SHT, .SHTM, .TBB, .TXT, .UIN, .VBS, .WSH et .XML des disques C à Z, en utilisant comme adresse d'expéditeur une adresse usurpée ou falsifiée mais en évitant les adresses dont le nom de domaine contient "abuse", "fbi", "orton, "f-pro", "aspersky", "cafee", "orman", "itdefender", f-secur", "avp", "skynet", "spam", "messagelabs", "ymantec", "antivi" et "icrosoft".

SysMonXP.exe est un composant "dropper" qui lorsqu'il est exécuté créé puis charge en mémoire le composant principal du virus dissimulé dans le fichier firewalllogger.txt (en réalité une DLL), responsable de l'envoi massif de messages contaminés. Netsky.Q tente de supprimer plusieurs clés de la base de registres, afin de désactiver certains virus concurrents appartenant aux familles Bagle, Nachi, et Mydoom s'ils sont présents sur la machine infectée. Le virus est conçu pour faire beeper l'ordinateur lorsque la pendule du système indique le 30/03/04 et lancera une attaque DoS contre les sites www.edonkey2000.com, www.kazaa.com, www.emule-project.net, www.cracks.am et www.cracks.st les 8, 9 10 et 11 avril 2004.
[align=center]"Quand une envie subite de travailler te prend. Allonges-toi et attends que ça passe"

Image[/align]

Avatar du membre
totoland
Administrateur
Administrateur
Messages : 4939
Enregistré le : 26.11.2002 11:29
Localisation : Lost somewhere

Sober.F (04/04/2004)

Message par totoland » 05.04.2004 08:50

Sober.F est un virus qui se propage par email. Il se présente sous la forme d'un message en anglais ou en allemand dont le titre et le corps sont aléatoires, accompagné d'un fichier joint avec une extension en .PIF ou .ZIP (42 Ko), en tentant de se faire passer pour un message d'erreur ou d'un ami. Si le fichier joint est exécuté, le virus s'envoie aux adresses présentes dans le carnet d'adresses Windows et divers autres fichiers du disque dur, puis tente de télécharger et d'exécuter un fichier situé sur un site web distant.


TYPE :
Ver

SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003

ALIAS :
Win32.Sober.F@mm (Bit Defender)
I-Worm.Sober.F (Kaspersky)
Sober.F (F-Secure)
W32/Sober.f@MM (McAfee)
W32.Sober.F@mm (Symantec)
WORM_SOBER.F (Trend Micro)

TAILLE :
42.496 octets

DECOUVERTE :
04/04/2004

DESCRIPTION DETAILLEE :
Sober.F est une variante du virus Sober.E qui se présente sous la forme d'un message en anglais ou en allemand, dont le titre est aléatoire :

* Oh my God
* Hey
* Hi!
* Hi, it's me
* hey you
* damn!
* Well, surprised?
* Info
* Information
* Faulty mail delivery
* Mail delivery failed
* # Mail Error
* Illegal signs in Mail-Routing
* Connection failed
* Invalid mail sentence length
* Mail Delivery failure
* Message Error
* mail delivery status
* Confirmation Required
* Bad Gateway
* Warning!
* Your document
* Einzelheiten
* Hallo Du!
* Hallo!
* Hey Du
* Hi, Ich bin's
* Ich bin es .-)
* Verdammt
* Na, berrascht?!
* Info
* Information
* Fehlerhafte Mailzustellung
* Mailzustellung fehlgeschlagen
* Fehler
* Illegale Zeichen in Mail-Routing
* Verbindung fehlgeschlagen
* Ung
* Fehler in E-Mail
* Besttigung
* Registrierungs-Besttigung
* Ihr neues Passwort
* Ihr Passwort
* Datenbank-Fehler
* Warnung!
* Details

Le corps du message est aléatoire :

* Faulty mail delivery
* Mail delivery failed
* Mail Error
* Illegal signs in Mail-Routing
* Connection failed
* Invalid mail sentence length
* Mail Delivery failure
* Message Error
* mail delivery status
* Confirmation Required
* Bad Gateway
* Warning!
* Your document
* I was surprised, too! :-(
Who could suspect something like that?
* shock
* All OK :)
* Police
* see, what i've found!
* Textdocument
* hi its me
i've found a shity virus on my pc. check your pc, too!
follow the steps in this article.
* anitv_text
* instructions
* your_article
* Registration confirmation
* I 've told you!:-) sometime I grab your passwords!
* your_passwords
* I hope you accept the result!
* Follow the instructions to read the message.
* Please read the document
* messagedoc
* webmaster
* admin
* information
* Confirmation
* Your Password
* Your mail account
* Your password was changed successfully.
* Protected message is attached.
* ++++ Service: http://www.
* ++++ Mail To: User-info
* User-info
* account
* pass-message
* Money-Help
* *** Auto Mail Delivery System ***
67.28.114.32_failed_after_I_sent_the_message./Remote_host_said: _554_delivery_error:_dd_Sorry_your_message_cannot_be_delivered. _This_account_has_been_disabled_or_discontinued_[#102]._-_ mta134.mail.dcn.com
** End of Transmission
* The original message is a separate attachment.
* --- Mail To: UserHelp ·Error_Info
_attach
Read the attachment for details.
Bad Gateway: The message has been attached.
+++ A service of
+++ Mail: home
* -attachment
* The message has been attached.
* attach-message
* Database #Error
* -- Partial message is available!
-- Error: llegal signs in Mail-Routing
-- Mail Server: ESMTP VX32.9 Version Betha Alpha
* database
* error
* database_partial
* partial
* error-message
* message
* Anybody use your accounts!
* For further details see the attachment.
* check_this
* I have received your document. The corrected document is attached.
* greets
* corrected_text-file
* Mail- Attachment: No suspicious Virus signatures
Mail Scanner: No Virus found
Anti-Virus: No Virus!
* ..

La pièce jointe possède un nom aléatoire et une extension en .PIF ou .ZIP :

* anitv_text
* instructions
* your_article
* your_passwords
* messagedoc
* corrected_text-file
* attach-message
* -attachment
* _attach
* pass-message
* text
* Textdocument

Si ce fichier est exécuté, le virus se copie dans le répertoire System de Windows sous un nom aléatoire, copie également au même endroit les fichiers BCEGFDS.LLL, SPOOFED_RECIPS.OCX, SYST32WIN.DLL, WINHEX32XX.WRM, WINSYS32XX.ZZP, ZHCARXXI.VVX et ZMNDPGWF.KXX, lance le Notepad de Windows (notepad.exe) en simulant l'ouverture d'un document altéré, modifie la base de registres pour s'exécuter automatiquement au prochain démarrage de l'ordinateur, s'envoie aux contacts présents dans le carnet d'adresses Windows, ainsi qu'aux adresses email collectées dans divers autres fichiers de l'ordinateur infecté (.ABC, .ABD, .ABX, .ADB, .ADE, .ADP, .ADR, .ASP, .BAS, .CFG, .CGI, .CLS, .CTL, .DBX, .DHTM, .DOC, .DSP, .DSW, .EML, .FDB, .FRM, .HLP, .INI, .JSP, .LDB, .LDIF, .LOG, .MBX, .MDA, .MDB, .MDE, .MDW, .MDX, .MHT, .MMF, .MSG, .NAB, .NCH, .NFO, .NSF, .ODS, .OFT, .PHP, .PL, .PP, .PPT, .PST, .RTF, .SHTML, .SLN, .TBB, .TXT, .UIN, .VAP, .VBS, .WSH, .XLS, .XML) en utilisant une adresse d'expéditeur usurpée ou falsifiée, puis tente de télécharger et d'exécuter un fichier situé sur un site web distant.
[align=center]"Quand une envie subite de travailler te prend. Allonges-toi et attends que ça passe"

Image[/align]

Avatar du membre
totoland
Administrateur
Administrateur
Messages : 4939
Enregistré le : 26.11.2002 11:29
Localisation : Lost somewhere

Netsky.X (20/04/2004)

Message par totoland » 20.04.2004 18:44

Netsky.X est un virus qui se propage par email. Il se présente sous la forme d'un message dont le titre et le corps sont aléatoires, accompagné d'un fichier joint dont l'extension est .PIF (26 Ko). Rédigé dans les principales langues européennes, il tente de se faire passer pour un document à lire. Si le fichier joint est exécuté, le virus s'envoie aux adresses présentes dans le carnet d'adresses Windows et divers autres fichiers, ouvre une porte dérobée sur le port TCP 82, puis lance une attaque contre plusieurs sites web.


TYPE :
Ver

SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003

ALIAS :
Win32.Netsky.X (Computer Associates)
NetSky.X (F-Secure)
I-Worm.Netsky.y (Kaspersky)
W32/Netsky.x@MM (McAfee)
W32/Netsky.X.worm (Panda Software)
W32/Netsky-Y (Sophos)
W32.Netsky.X@mm (Symantec)
WORM_NETSKY.X (Trend Micro)
Worm.SomeFool.X

TAILLE :
26.112 octets

DECOUVERTE :
20/04/2004

DESCRIPTION DETAILLEE :
Le virus Netsky.X se présente sous la forme d'un message dont le titre, le corps et le nom du fichier joint sont aléatoires, rédigé dans une langue européenne (anglais, français, allemand, italien, portugais, suédois, finlandais, polonais ou norvégien). Les titres de message :

* Re: document
* Re: belge
* Re: dokumenten
* Re: dokumentoida
* Re: udokumentowac
* Re: dokumentet
* Re: original
* Re: documento
* Re: dokument

Le corps du message est un court texte destiné à inciter l'internaute à ouvrir le fichier joint :

* Please read the document
* Bitte lesen Sie das Dokument.
* Veuillez lire le document.
* Legga prego il documento.
* Leia por favor o original.
* Behage lese dokumentet.
* Podobac sie przeczytac ten udokumentowac.
* Haluta kuulua dokumentoida.
* mutlu etmek okumak belgili tanimlik belge.

La pièce jointe possède une extension en .PIF :

* document.pif
* dokument.pif
* documento.pif
* original.pif
* dokumentet.pif
* udokumentowac.pif
* dokumentoida.pif
* dokumenten.pif
* belge.pif

Si le fichier joint est exécuté, le virus se copie dans le répertoire Windows sous le nom FirewallSvr.exe, copie également le fichier fuck_you_bagle.txt dans ce répertoire, modifie la base de registres pour être exécuté à chaque démarrage de l'ordinateur, puis s'envoie aux contacts dont les adresses figurent dans le carnet d'adresses Windows (.WAB) ainsi que les fichiers .ADB, .ASP, .CFG, .CGI, .DBX, .DHTM, .DOC, .EML, .HTM, .HTML, .JSP, .MBX, .MDX, .MHT, .MMF, .MSG, .NCH, .ODS, .OFT, .PHP, .PL, .PPT, .RFT, .SHT, .SHTM, .TBB, .TXT, .UIN, .VBS, .WSH et .XML des disques C à Z, en utilisant comme adresse d'expéditeur une adresse usurpée ou falsifiée.Il est conçu pour lancer une attaque DoS contre les sites www.educa.ch, www.nedinfo.ufl.edu et www.nibis.de entre le 28 et le 30 avril 2004.
[align=center]"Quand une envie subite de travailler te prend. Allonges-toi et attends que ça passe"

Image[/align]

Avatar du membre
totoland
Administrateur
Administrateur
Messages : 4939
Enregistré le : 26.11.2002 11:29
Localisation : Lost somewhere

Bagle.Y [W, Z] (26/04/2004)

Message par totoland » 26.04.2004 22:05

Bagle.Y est un virus qui se propage par email et via les dossiers partagés. Il se présente sous la forme d'un message dont le titre et le corps sont aléatoires, accompagné d'un fichier joint avec une extension en .COM, .CPL, .EXE, .HTA, .SCR, .VBS ou .ZIP (39 à 129 Ko) ainsi parfois d'une image. Si ce fichier est exécuté, le virus s'envoie aux adresses présentes dans le carnet d'adresses Windows ainsi que divers autres fichiers, tente de désactiver certains antivirus et pare-feux personnels, installe une porte dérobée, puis tente le cas échéant de se copier dans les dossiers partagés.


TYPE :
Ver

SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003

ALIAS :
Bagle.Y (F-Secure)
I-Worm.Bagle.y (Kaspersky)
W32/Bagle.z@MM (McAfee)
W32/Bagle-W (Sophos)
W32.Beagle.W@mm (Symantec)
PE_BAGLE.X (Trend Micro)

TAILLE :
39 à 129 octets (variable)

DECOUVERTE :
26/04/2004

DESCRIPTION DETAILLEE :
Le virus Bagle.Y se présente sous la forme d'un message dont le corps ets vide et l'objet aléatoire :

* Hello!
* Hey!
* Let's socialize, my friend!
* Let's talk, my friend!
* I'm bored with this life
* Notify from a known person ;-)
* I like you
* I just need a friend
* I'm a sad girl...
* Re: Msg reply
* Re: Hello
* Re: Yahoo!
* Re: Thank you!
* Re: Thanks :)
* RE: Text message
* Re: Document
* Incoming message
* Re: Incoming Message
* Re: Incoming Fax
* Hidden message
* Fax Message Received
* Protected message
* RE: Protected message
* Forum notify
* Request response
* Site changes
* Re: Hi
* Encrypted document

Le corps du message est variable, en anglais, et tente notamment de faire passer pour une petite annonce :

* I study at school, I like to spend time cheerfully even if not all so well, I hompe and trust, that all bad when nibud will pass and necessarily nastanet there would be a desire.
* I like to feel protected, to understand, that near to me the man, which both in sex, and in life knows what to do. It is possible to fall in love with such the man for ever.
* Cometime I write a poem, play the gitar. I love a traveling, I like a romantice and I want to meet, comeday, my big love!
* I am kind, fair, careful, gentle also want to create family. I love animal (cats, dogs), the literature, theatre, cinema, music, walks in park .
* I very much love productive leisure, to prepare for new exotic dishes, at leisure to leave with friends on the nature, to float, I like to go for a drive on mountain skiing, to visit excursions, travel. Very easy going.
* I have recently got demobilize from army and also I am going to act in a higher educational institution
* Searching for the right person,for real man, who will really cares and love me.
* I am a honest, kind,loving,with good sense of humor...etc.,looking for true love... or maybe for pen friend.I like cats.
* I am looking for a serious relationship. I am NOT interested in flirt and short-term love adventure.
* I love, as the good company, and I dream about romantic appointment at candles with loved. I still believe in love.
* I like an active life... and interesting people...
* i am honest, responsible, romantic person. iwould like to find my only love,to find my destiny.
* I'm a young lady of 20 years old i'd like to find my second part!!!
* I am simple girl who are looking for serious relation with responsible and confident man. I am ready to give all my love and carering for a right person who is going to love and respect me
* I am a beautiful, sexual girl with very big ambitions and dreams. I can make happy anyone man...
* I am a student. I'm studying international relationships. I would like to find an interesting and active man for serious relations. Sitting at home it is not for me. I like to go out to the theater, cinema, and nightclubs.
* I love productive leisure, to travel, communicate with friends.
* I very much love new acquaintances, I love music, meetings with friends. I go on night clubs, except for parties I sometimes visit theatres and I love cinema. In general I only shall be glad to new acquaintance and class dialogue...
* I'm so bored, let me talk with you...
* You are my prince :-)
* You are cool :-)

Le fichier joint possède un nom aléatoire avec une extension en .COM, .CPL, .EXE, .HTA, .SCR, .VBS ou .ZIP et peut être accompaén d'une image. Les noms de fichier possibles :

* Attach
* Information
* Readme
* Document
* Info
* TextDocument
* TextFile
* MoreInfo
* Message

Si ce fichier est exécuté, un message d'erreur affiche "Can't find a viewer associated with the file.", le virus se copie dans le répertoire système sous le nom drvsys.exe, ainsi que les fichiers drvsys.exeopen et drvsys.exeopenopen, modifie la base de registres afin d'être exécuté à chaque démarrage de l'ordinateur, puis s'envoie automatiquement aux contacts dont les adresses figurent dans le carnet d'adresses Windows ainsi que les fichiers .ADB, .ASP, .CFG, .CGI, .DBX, .DHTM, .EML, .HTM, .JSP, .MBX, .MDX, .MHT, .MMF, .MSG, .NCH, .ODS, .OFT, .PHP, .PL, .SHT, .STM, .TBB, .SHTM, .TXT, .UIN, .WSH, .XLS et .XML présents sur le disque dur avec une adresse d'expéditeur falsifiée. Bagle.Y installe une porte dérobée qui ouvre le port TCP 2535 de l'ordinateur infecté, puis tente de terminer les processus suivants pour empêcher l'utilisation ou la mise à jour des logiciels de sécurité correspondants :

* AGENTSVR.EXE
* ANTI-TROJAN.EXE
* ANTIVIRUS.EXE
* ANTS.EXE
* APIMONITOR.EXE
* APLICA32.EXE
* APVXDWIN.EXE
* ATCON.EXE
* ATGUARD.EXE
* ATRO55EN.EXE
* ATUPDATER.EXE
* ATWATCH.EXE
* AUPDATE.EXE
* AUTODOWN.EXE
* AUTOTRACE.EXE
* AUTOUPDATE.EXE
* AVCONSOL.EXE
* AVGSERV9.EXE
* AVLTMAIN.EXE
* AVPUPD.EXE
* AVSYNMGR.EXE
* AVWUPD32.EXE
* AVXQUAR.EXE
* AVprotect9x.exe
* BD_PROFESSIONAL.EXE
* BIDEF.EXE
* BIDSERVER.EXE
* BIPCP.EXE
* BIPCPEVALSETUP.EXE
* BISP.EXE
* BLACKD.EXE
* BLACKICE.EXE
* BOOTWARN.EXE
* BORG2.EXE
* BS120.EXE
* CDP.EXE
* CFGWIZ.EXE
* CFIADMIN.EXE
* CFIAUDIT.EXE
* CFINET.EXE
* CFINET32.EXE
* CLEAN.EXE
* CLEANER.EXE
* CLEANER3.EXE
* CLEANPC.EXE
* CMGRDIAN.EXE
* CMON016.EXE
* CPD.EXE
* CPF9X206.EXE
* CPFNT206.EXE
* CV.EXE
* CWNB181.EXE
* CWNTDWMO.EXE
* DEFWATCH.EXE
* DEPUTY.EXE
* DPF.EXE
* DPFSETUP.EXE
* DRWATSON.EXE
* DRWEBUPW.EXE
* ENT.EXE
* ESCANH95.EXE
* ESCANHNT.EXE
* ESCANV95.EXE
* EXANTIVIRUS-CNET.EXE
* FAST.EXE
* FIREWALL.EXE
* FLOWPROTECTOR.EXE
* FP-WIN_TRIAL.EXE
* FRW.EXE
* FSAV.EXE
* FSAV530STBYB.EXE
* FSAV530WTBYB.EXE
* FSAV95.EXE
* GBMENU.EXE
* GBPOLL.EXE
* GUARD.EXE
* GUARDDOG.EXE
* HACKTRACERSETUP.EXE
* HTLOG.EXE
* HWPE.EXE
* IAMAPP.EXE
* IAMSERV.EXE
* ICLOAD95.EXE
* ICLOADNT.EXE
* ICMON.EXE
* ICSSUPPNT.EXE
* ICSUPP95.EXE
* ICSUPPNT.EXE
* IFW2000.EXE
* IPARMOR.EXE
* IRIS.EXE
* JAMMER.EXE
* KAVLITE40ENG.EXE
* KAVPERS40ENG.EXE
* KERIO-PF-213-EN-WIN.EXE
* KERIO-WRL-421-EN-WIN.EXE
* KERIO-WRP-421-EN-WIN.EXE
* KILLPROCESSSETUP161.EXE
* LDPRO.EXE
* LOCALNET.EXE
* LOCKDOWN.EXE
* LOCKDOWN2000.EXE
* LSETUP.EXE
* LUALL.EXE
* LUCOMSERVER.EXE
* LUINIT.EXE
* MCAGENT.EXE
* MCUPDATE.EXE
* MFW2EN.EXE
* MFWENG3.02D30.EXE
* MGUI.EXE
* MINILOG.EXE
* MOOLIVE.EXE
* MRFLUX.EXE
* MSCONFIG.EXE
* MSINFO32.EXE
* MSSMMC32.EXE
* MU0311AD.EXE
* NAV80TRY.EXE
* NAVAPW32.EXE
* NAVDX.EXE
* NAVSTUB.EXE
* NAVW32.EXE
* NC2000.EXE
* NCINST4.EXE
* NDD32.EXE
* NEOMONITOR.EXE
* NETARMOR.EXE
* NETINFO.EXE
* NETMON.EXE
* NETSCANPRO.EXE
* NETSPYHUNTER-1.2.EXE
* NETSTAT.EXE
* NISSERV.EXE
* NISUM.EXE
* NMAIN.EXE
* NORTON_INTERNET_SECU_3.0_407.EXE
* NPF40_TW_98_NT_ME_2K.EXE
* NPFMESSENGER.EXE
* NPROTECT.EXE
* NSCHED32.EXE
* NTVDM.EXE
* NUPGRADE.EXE
* NVARCH16.EXE
* NWINST4.EXE
* NWTOOL16.EXE
* OSTRONET.EXE
* OUTPOST.EXE
* OUTPOSTINSTALL.EXE
* OUTPOSTPROINSTALL.EXE
* PADMIN.EXE
* PANIXK.EXE
* PAVPROXY.EXE
* PCC2002S902.EXE
* PCC2K_76_1436.EXE
* PCCIOMON.EXE
* PCDSETUP.EXE
* PCFWALLICON.EXE
* PCIP10117_0.EXE
* PDSETUP.EXE
* PERISCOPE.EXE
* PERSFW.EXE
* PF2.EXE
* PFWADMIN.EXE
* PINGSCAN.EXE
* PLATIN.EXE
* POPROXY.EXE
* POPSCAN.EXE
* PORTDETECTIVE.EXE
* PPINUPDT.EXE
* PPTBC.EXE
* PPVSTOP.EXE
* PROCEXPLORERV1.0.EXE
* PROPORT.EXE
* PROTECTX.EXE
* PSPF.EXE
* PURGE.EXE
* PVIEW95.EXE
* QCONSOLE.EXE
* QSERVER.EXE
* RAV8WIN32ENG.EXE
* REGEDIT.EXE
* REGEDT32.EXE
* RESCUE.EXE
* RESCUE32.EXE
* RRGUARD.EXE
* RSHELL.EXE
* RTVSCN95.EXE
* RULAUNCH.EXE
* SAFEWEB.EXE
* SBSERV.EXE
* SD.EXE
* SETUPVAMEEVAL.EXE
* SETUP_FLOWPROTECTOR_US.EXE
* SFC.EXE
* SGSSFW32.EXE
* SH.EXE
* SHELLSPYINSTALL.EXE
* SHN.EXE
* SMC.EXE
* SOFI.EXE
* SPF.EXE
* SPHINX.EXE
* SPYXX.EXE
* SS3EDIT.EXE
* ST2.EXE
* SUPFTRL.EXE
* SUPPORTER5.EXE
* SYMPROXYSVC.EXE
* SYSEDIT.EXE
* TASKMON.EXE
* TAUMON.EXE
* TAUSCAN.EXE
* TC.EXE
* TCA.EXE
* TCM.EXE
* TDS-3.EXE
* TDS2-98.EXE
* TDS2-NT.EXE
* TFAK5.EXE
* TGBOB.EXE
* TITANIN.EXE
* TITANINXP.EXE
* TRACERT.EXE
* TRJSCAN.EXE
* TRJSETUP.EXE
* TROJANTRAP3.EXE
* UNDOBOOT.EXE
* UPDATE.EXE
* VBCMSERV.EXE
* VBCONS.EXE
* VBUST.EXE
* VBWIN9X.EXE
* VBWINNTW.EXE
* VCSETUP.EXE
* VFSETUP.EXE
* VIRUSMDPERSONALFIREWALL.EXE
* VNLAN300.EXE
* VNPC3000.EXE
* VPC42.EXE
* VPFW30S.EXE
* VPTRAY.EXE
* VSCENU6.02D30.EXE
* VSECOMR.EXE
* VSHWIN32.EXE
* VSISETUP.EXE
* VSMAIN.EXE
* VSMON.EXE
* VSSTAT.EXE
* VSWIN9XE.EXE
* VSWINNTSE.EXE
* VSWINPERSE.EXE
* W32DSM89.EXE
* W9X.EXE
* WATCHDOG.EXE
* WEBSCANX.EXE
* WGFE95.EXE
* WHOSWATCHINGME.EXE
* WINRECON.EXE
* WNT.EXE
* WRADMIN.EXE
* WRCTRL.EXE
* WSBGATE.EXE
* WYVERNWORKSFIREWALL.EXE
* XPF202EN.EXE
* ZAPRO.EXE
* ZAPSETUP3001.EXE
* ZATUTOR.EXE
* ZAUINST.EXE
* ZONALM2601.EXE
* ZONEALARM.EXE

Bagle.Y tente enfin de se propager via les dossiers dont le nom comporte le mot "shar" (comme KaZaa, Bearshare, etc.) en s'y copiant sous divers noms aguicheurs :

* ACDSee 9.exe
* Adobe Photoshop 9 full.exe
* Ahead Nero 7.exe
* Matrix 3 Revolution English Subtitles.exe
* Microsoft Office 2003 Crack, Working!.exe
* Microsoft Office XP working Crack, Keygen.exe
* Microsoft Windows XP, WinXP Crack, working Keygen.exe
* Opera 8 New!.exe
* Porno pics arhive, xxx.exe
* Porno Screensaver.scr
* Porno, sex, oral, anal cool, awesome!!.exe
* Serials.txt.exe
* WinAmp 5 Pro Keygen Crack Update.exe
* WinAmp 6 New!.exe
* Windown Longhorn Beta Leak.exe
* Windows Sourcecode update.doc.exe
* XXX hardcore images.exe

Le virus est conçu pour ne plus se propager voire pour s'auto-supprimer lorsque la date du système est égale ou supérieure au 25/01/05.
[align=center]"Quand une envie subite de travailler te prend. Allonges-toi et attends que ça passe"

Image[/align]

Avatar du membre
totoland
Administrateur
Administrateur
Messages : 4939
Enregistré le : 26.11.2002 11:29
Localisation : Lost somewhere

Netsky.AB (28/04/2004)

Message par totoland » 28.04.2004 17:13

Netsky.AB est un virus qui se propage par email. Il se présente sous la forme d'un message en anglais dont le titre et le corps sont aléatoires, avec un fichier joint dont l'extension est .PIF (18 Ko), tentant notamment de faire croire au destinataire que l'expéditeur a récupéré son mot de passe ou son numéro de carte bancaire pour le pousser à ouvrir le fichier joint. Si ce fichier est exécuté, le virus s'envoie aux correspondants présents dans le carnet d'adresses Windows et divers fichiers en utilisant une adresse falsifiée.
TYPE :
Ver

SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003

ALIAS :
Win32.Netsky.AB (Computer Associates)
NetSky.AB (F-Secure)
I-Worm.Netsky.ab (Kaspersky)
W32/Netsky.ab@MM (McAfee)
W32/Netsky.AB.worm (Panda Software)
W32/Netsky-AB (Sophos)
W32.Netsky.AB@mm (Symantec)
WORM_NETSKY.AB (Trend Micro)
Worm.SomeFool.AB

TAILLE :
17.920 octets

DECOUVERTE :
28/04/2004

DESCRIPTION DETAILLEE :
Le virus Netsky.AB se présente sous la forme d'un message dont le titre, le corps et le nom du fichier joint sont aléatoires. Les titres de message :

* Correction
* Hurts
* Privacy
* Password
* Wow
* Criminal
* Pictures
* Text
* Money
* Stolen
* Found
* Numbers
* Funny
* Only
* love?
* More
* samples
* Picture
* Letter
* Question
* Illegal

Le corps du message est un court texte destiné à interpeller l'internaute et à l'inciter à ouvrir le fichier joint :

* Please use the font arial!
* How can I help you?
* Still?
* I've your password.
* Take it easy!
* Why do you show your body?
* Hey, are you criminal?
* Your pictures are good!
* The text you sent to me is not so good!
* True love letter?
* Do you have no money?
* Do you have asked me?
* I've found your creditcard.
* Check the data!
* Are your numbers correct?
* You have no chance...
* Wow! Why are you so shy?
* Do you have more samples?
* Do you have more photos about you?
* Do you have written the letter?
* Does it hurt you?
* Please do not sent me your illegal stuff again!!!

La pièce jointe possède une extension en .PIF :

* corrected_doc.pif
* hurts.pif
* document1.pif
* passwords02.pif
* image034.pif
* myabuselist.pif
* your_picture01.pif
* your_text01.pif
* your_letter.pif
* your_bill.pif
* my_stolen_document.pif
* visa_data.pif
* pin_tel.pif
* your_text.pif
* loveletter02.pif
* all_pictures.pif
* your_letter_03.pif
* your_picture.pif
* abuses.pif

Si le fichier joint est exécuté, le virus se copie dans le répertoire Windows sous le nom CSRSS.EXE, modifie la base de registres pour être exécuté à chaque démarrage de l'ordinateur, puis s'envoie aux contacts dont les adresses figurent dans le carnet d'adresses Windows (.WAB) ainsi que les fichiers .ADB, .ASP, .CFG, .CGI, .DBX, .DHTM, .DOC, .EML, .HTM, .HTML, .JSP, .MBX, .MDX, .MHT, .MMF, .MSG, .NCH, .ODS, .OFT, .PHP, .PL, .PPT, .RFT, .SHT, .SHTM, .TBB, .TXT, .UIN, .VBS, .WSH et .XML des disques C à Z (exceptés les éventuels CD-Rom), en utilisant comme adresse d'expéditeur une adresse usurpée ou falsifiée.
[align=center]"Quand une envie subite de travailler te prend. Allonges-toi et attends que ça passe"

Image[/align]

Avatar du membre
totoland
Administrateur
Administrateur
Messages : 4939
Enregistré le : 26.11.2002 11:29
Localisation : Lost somewhere

Sasser A-B (30/04/2004)

Message par totoland » 01.05.2004 13:46

Sasser est le premier virus ciblant les ordinateurs vulnérables à la faille Microsoft LSASS annoncée le 13/04/04. Si une machine connectée à Internet n'est pas à jour dans ses correctifs, Sasser l'infecte via le port TCP 445 sans intervention de l'utilisateur, puis scanne le réseau à la recherche de nouvelles machines vulnérables. Le virus n'est pas destructif mais chaque attaque peut provoquer un plantage de l'ordinateur. Sasser est peu virulent mais la mise à jour des ordinateurs sous Windows NT, 2000, XP et 2003 est le cas échéant urgente et impérative sans attendre de nouvelles variantes.

TYPE :
Ver

SYSTEME(S) CONCERNE(S) :
Windows NT
Windows 2000
Windows XP
Windows 2003

ALIAS :
Sasser.A (CA)
Sasser (F-Secure)
W32/Sasser.worm (Mc Afee)
W32/Sasser-A (Sophos)
W32.Sasser.Worm (Symantec)
WORM_SASSER.A (Trend Micro)

TAILLE :
15.872 octets

DECOUVERTE :
30/04/2004

DESCRIPTION DETAILLEE :
Sasser est un virus qui se propage via le réseau. Si une machine connectée à Internet n'est pas à jour dans ses correctifs ni protégée par un pare-feu correctement configuré, Sasser l'infecte via le port TCP 445 en utilisant la faille LSASS de Windows : le virus provoque le téléchargement d'un fichier AVSERVE.EXE (AVSERVE2.exe pour le B) dans le répertoire Windows via FTP et le port TCP 5554, puis son exécution à distance sans aucune intervention de l'utilisateur.

Une fois l'ordinateur infecté, le virus modifie la base de registres pour s'exécuter à chaque démarrage de l'ordinateur, se copie dans le répertoire Système sous des noms variables ([nombre aléatoire]_up.exe) puis scanne continuellement le réseau à la recherche de nouvelles machines vulnérables. L'exploitation de la faille LSASS par le virus rend souvent le système instable, d'où un plantage de LSASS.EXE (et non ISASS.EXE) et un redémarrage automatique du système (message d'erreur : "LSA Shell has encountered a problem and needs to close. We are sorry for the inconvenience").

Sasser est peu virulent mais une variante plus véloce pourrait causer des perturbations similaires à celles engendrées par le virus Blaster en août 2003, en rendant notamment difficile voire impossible l'accès à certains sites web. La mise à jour des machines sous Windows NT, 2000, XP et 2003 est donc impérative pour combler la faille LSASS exploitée par le virus, mais aussi par divers outils de piratage à distance actuellement en circulation.
[align=center]"Quand une envie subite de travailler te prend. Allonges-toi et attends que ça passe"

Image[/align]

Avatar du membre
totoland
Administrateur
Administrateur
Messages : 4939
Enregistré le : 26.11.2002 11:29
Localisation : Lost somewhere

Wallon (11/05/2004)

Message par totoland » 13.05.2004 10:07

Wallon est un virus qui se propage par e-mail. Il se présente sous la forme d'un message dont le titre est "RE" contenant un lien hypertexte de la forme http://drs.yahoo.com/[nom domaine]/NEWS. Si l'utilisateur clique sur ce lien, il est redirigé vers une page web piégée qui provoque l'installation du virus sur son ordinateur si son navigateur Internet Explorer n'est pas à jour dans ses correctifs de sécurité. Le virus se substitue alors au lecteur Windows Media Player, s'envoie à toutes les adresses e-mail présentes dans le carnet d'adresses Windows et envoie une copie de ces adresses à son auteur.


TYPE :
Ver

SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003

ALIAS :
Win32.Wallon (Computer Associates)
I-Worm.Wallon (KAV)
W32/Wallon.worm.a (Mc Afee)
W32/Wallon-A (Sophos)
W32.Wallon.A@mm (Symantec)
WORM_WALLON.A (Trend Micro)


TAILLE :
150.528 octets

DECOUVERTE :
11/05/04

DESCRIPTION DETAILLEE :
Wallon est un virus qui se propage par e-mail. Il se présente sous la forme d'un message sans fichier joint dont le titre est "RE" contenant uniquement un lien hypertexte de la forme http://drs.yahoo.com/[nom domaine]/NEWS. Si l'utilisateur clique sur ce lien, il est redirigé vers une page web piégée du site www.security-warning.biz qui provoque l'installation du virus si son navigateur est une version d'Internet Explorer non à jour dans ses correctifs.

La consultation de la page web piégée provoque le téléchargement d'un fichier SYS.EXE (downloader) qui écrase WMPLAYER.EXE (Windows Media Player) et provoque lui-même le téléchargement et l'exécution d'un fichier ALPHA.EXE à la racine du disque C: (le virus proprement dit). Wallon s'envoie alors à toutes les adresses présentes dans le carnet d'adresses Windows et envoie une copie de ces adresses à une adresse appartenant probablement à son auteur, potentiellement à des fins de spamming. Le downloader remplace également la page de recherche d'Internet Explorer par www.google.com.super-fast-search.apsua.com et tente d'ouvrir à plusieurs reprises une fenêtre de navigation vers un site pornographique.

Compte tenu de son mode fonctionnement, la propagation du virus restera limitée mais plusieurs cas de contamination nous ont été signalé en France. Les internautes à jour dans leurs correctifs de sécurité n'ont rien à craindre de ce malware ou d'éventuelles variantes. Les autres ont tout intérêt à mettre à jour leur système via le site WindowsUpdate et à s'abonner à notre liste Secuser Alert pour être tenus informés de la disponibilité des nouveaux correctifs, car les failles d'Internet Explorer peuvent être exploitées par d'autres virus ou d'autres individus douteux à des fins malveillantes.
[align=center]"Quand une envie subite de travailler te prend. Allonges-toi et attends que ça passe"

Image[/align]

Avatar du membre
totoland
Administrateur
Administrateur
Messages : 4939
Enregistré le : 26.11.2002 11:29
Localisation : Lost somewhere

Sober.G (13/05/2004)

Message par totoland » 21.05.2004 13:44

Sober.G est un virus qui se propage par email. Il se présente sous la forme d'un message en anglais ou en allemand dont le titre et le corps sont aléatoires, accompagné d'un fichier joint avec une extension en .BAT, .COM, .EXE, .PIF, .SCR ou .ZIP (49 Ko). Si ce fichier est exécuté, le virus s'envoie aux adresses présentes dans le carnet d'adresses Windows et divers autres fichiers du disque dur, tente de se connecter à plusieurs serveurs puis de télécharger et d'exécuter un fichier situé sur des sites web distants.


TYPE :
Ver

SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003

ALIAS :
Win32.Sober.G@mm (Bit Defender)
Win32.Sober.G (Computer Associates)
I-Worm.Sober.g (Kaspersky)
Sober.G (F-Secure)
W32/Sober.g@MM (McAfee)
W32.Sober.G@mm (Symantec)
WORM_SOBER.G (Trend Micro)

TAILLE :
49.661 octets

DECOUVERTE :
13/05/2004

DESCRIPTION DETAILLEE :
Sober.G est une variante du virus Sober.F qui se présente sous la forme d'un message en anglais ou en allemand, dont le titre est aléatoire :

* hi there
* hey dude!
* wazzup!!!
* yeah dude :P
* Details
* Oh God it's
* damn!
* #
* Registration confirmation
* Confirmation
* Your Password
* Your mail account
* Delivery failure notice
* Faulty mail delivery
* Mail delivery failed
* Mailing Error
* Illegal signs in E-Mail
* Invalid mail length
* Mail Delivery failure
* mail delivery status
* Warning!
* error in dbase
* DBase Error
* ups, i've got your mail
* Sorry, that's your mail
* why do you do that?
* Life's a Bitch
* Smiling Like a Killer

Le corps du message est aléatoire :

* yo wazzup :P
well here is ur stuff! good luck!

cya!
* hey man! you'll not belive me what i've found on your computer!^^ ... thats funny dude!

well cya soon
* nice pic u send me! here is mine!
* I was surprised, too! :-(??
Who could suspect something like that? shit
* hey dude!#

ive found a shity virus on my pc. yo must check your pc!
follow the steps in this article.

bye
* ###
* Your password was changed successfully.


++++ User-Service: http://www.[nom de domaine]
++++ MailTo: postmaster@[nom de domaine]
* Protected message is attached.


++++ User-Service: http://www.[nom de domaine]
++++ MailTo: postmaster@[nom de domaine]
* This e-mail was generated automatically.
Information about -- under: http://www.[nom de domaine]

-----
Errors:

[faux message d'erreur aléatoire]

End
-----

The full mail is attached.

Auto-ReMail.System#: []
* Anybody use your accounts and (or) passwords!

For further details see the attachment.
* *** Partial message is available!
*** Error: llegal signs in Mail-Routing
*** Mail-Server: ESMTP V[nombre aléatoire]
* i'm very very sorry, anybody have sent your mail to my account address.l
* I've got your mail, but its came on my mail address???
i've read this mail ,,, sorry about that

excuse for my bad english, but I'm a Dutchman
cya
* ???
* +-+-+ X- Mail_Scanner: No Virus found
+-+-+ [NOM DE DOMAINE]- AntiVirus Service
+-+-+ http://www.[nom de domaine]

La pièce jointe possède un nom aléatoire et une extension en BAT, .COM, .EXE, .PIF, .SCR ou .ZIP (49 Ko) :

* stuff [-nombre aléatoire]
* your_docs [-nombre aléatoire]
* private [-nombre aléatoire]
* ohyeah [-nombre aléatoire]
* photo [-nombre aléatoire]
* shock [-nombre aléatoire]
* thatshard [-nombre aléatoire]
* oh_no [-nombre aléatoire]
* article[-nombre aléatoire]
* more_infos[-nombre aléatoire]
* ReMailer[-nombre aléatoire]
* EM. [-nombre aléatoire]
* mail[-nombre aléatoire]
* check_this [-nombre aléatoire]
* p_message [-nombre aléatoire]
* yourmail [-nombre aléatoire]
* idiot [-nombre aléatoire]
* painfulness [-nombre aléatoire]
* Jokers [-nombre aléatoire]
* Kundeninfo [-nombre aléatoire]
* ReMail [-nombre aléatoire]
* EM. [nom de domaine du destinataire]
* mail [-nombre aléatoire]
* Jokes [-nombre aléatoire]
* Kundeninfo [-nombre aléatoire]
* Benutzer-Daten [-nombre aléatoire]
* [nom de domaine du destinataire] -tarif
* Antitext [-nombre aléatoire]
* lese-das [-nombre aléatoire]
* Aufpassen [-nombre aléatoire]
* Tools [-nombre aléatoire]
* daten [-nombre aléatoire]
* Foto [-nombre aléatoire]
* bild [-nombre aléatoire]
* hallo.zip

Si ce fichier est exécuté, le virus se copie dans le répertoire System de Windows sous un nom aléatoire, copie aussi au même endroit les fichiers bcegfds.lll, cvqaikxt.apk, datsobex.wwr, wincheck32.dats, winexpoder.dats, winzweier.dats, xdatxzap.zxp, zhcarxxi.vvx et NoSpam.readme, modifie la base de registres pour s'exécuter automatiquement au prochain démarrage de l'ordinateur, puis s'envoie aux contacts présents dans le carnet d'adresses Windows, ainsi qu'aux adresses email collectées dans divers autres fichiers de l'ordinateur infecté (.ABC, .ABD, .ABX, .ADB, .ADE, .ADP, .ADR, .ASP, .BAK, .BAS, .CFG, .CGI, .CLS, .CMS, .CSV, .CTL, .DBX, .DHTM, .DOC, .DSP, .DSW, .EML, .FDB, .FRM, .HLP, .IMB, .IMH, .IMM, .INBOX, .INI, .JSP, .LDB, .LDIF, .LOG, .MBX, .MDA, .MDB, .MDE, .MDW, .MDX, .MHT, .MMF, .MSG, .NAB, .NCH, .NFO, .NSF, .NWS, .ODS, .OFT, .PHP, .PL, .PMR, .PP, .PPT, .PST, .RTF, .SHTML, .SLK, .SLN, .STM, .TBB, .TXT, .UIN, .VAP, .VBS, .VCF, .WSH, .XHTML, .XLS, .XML) en évitant certains destinataires et en utilisant une adresse d'expéditeur usurpée ou falsifiée.

Sober.G tente de se connecter aux serveurs suivants via le port TCP 37 :

* ntps1-1.cs.tu-berlin.de
* ntp2.fau.de
* Rolex.PeachNet.edu
* ptbtime2.ptb.de
* time.nrc.ca
* ntp.metas.ch
* ntps1-0.cs.tu-berlin.de
* ntp0.fau.de
* timelord.uregina.ca
* ntp-1.ece.cmu.edu
* ptbtime1.ptb.de
* time.ien.it
* ntp3.fau.de
* time.chu.nrc.ca
* clock.psu.edu
* ntp1.fau.de

Le virus tente enfin de télécharger et d'exécuter un fichier nommé doerkggg.exe depuis les sites web suivants :

* scifi.pages.at
* free.pages.at
* home.pages.at
* people.freenet.de
* home.arcor.de
[align=center]"Quand une envie subite de travailler te prend. Allonges-toi et attends que ça passe"

Image[/align]

Avatar du membre
totoland
Administrateur
Administrateur
Messages : 4939
Enregistré le : 26.11.2002 11:29
Localisation : Lost somewhere

Bobax (18/05/2004)

Message par totoland » 31.05.2004 10:48

Bobax est une famille de virus ciblant les ordinateurs vulnérables à la faille Microsoft LSASS annoncée le 13/04/04. Si une machine connectée à Internet n'est pas à jour dans ses correctifs, Bobax l'infecte via le port TCP 445 sans intervention de l'utilisateur, puis scanne le réseau à la recherche de nouvelles machines vulnérables. Le virus installe par ailleurs un proxy qui permet à des individus malveillants d'utiliser l'ordinateur ainsi infecté comme relais pour envoyer des pourriels (spams) aux autres internautes.


TYPE :
Ver

SYSTEME(S) CONCERNE(S) :
Windows NT
Windows 2000
Windows XP

ALIAS :
TrojanProxy.Win32.Bobax.a (Kaspersky)
W32/Bobax.worm.a (McAfee)
W32/Bobax-A (Sophos)
W32.Bobax.A (Symantec)
W32.Bobax.B (Symantec)
W32.Bobax.C (Symantec)
W32.Bobax.D (Symantec)
WORM_BOBAX.A (Trend Micro)
WORM_BOBAX.B (Trend Micro)
WORM_BOBAX.C (Trend Micro)

TAILLE :
variable

DECOUVERTE :
18/05/2004

DESCRIPTION DETAILLEE :
Les internautes à jour dans leurs correctifs de sécurité et notamment ceux qui ont mis à jour leur ordinateur suite à la propagation du virus Sasser n'ont rien à craindre de ce virus ou d'éventuelles variantes. Les autres ont tout intérêt à mettre à jour leur système via le site WindowsUpdate et à s'abonner à notre liste Secuser Alert pour être tenus informés de la disponibilité des nouveaux correctifs, car les failles de Windows peuvent être exploitées par d'autres virus ou d'autres individus douteux à des fins malveillantes.
[align=center]"Quand une envie subite de travailler te prend. Allonges-toi et attends que ça passe"

Image[/align]

Avatar du membre
totoland
Administrateur
Administrateur
Messages : 4939
Enregistré le : 26.11.2002 11:29
Localisation : Lost somewhere

Korgo (22/05/2004)

Message par totoland » 11.06.2004 17:30

Korgo est une famille de virus ciblant les ordinateurs vulnérables à la faille Microsoft LSASS annoncée le 13/04/04. Si une machine connectée à Internet n'est pas à jour dans ses correctifs, Korgo l'infecte via le port TCP 445 sans intervention de l'utilisateur, puis scanne le réseau à la recherche de nouvelles machines vulnérables. Le virus ouvre par ailleurs une porte dérobée au niveau des ports TCP 113, 2041 et 3067, permettant à une personne malveillante de prendre le contrôle à distance de l'ordinateur contaminé.


TYPE :
Ver

SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003

ALIAS :
Worm.Win32.Padobot.Gen (Kaspersky)
W32/Korgo.worm.a (McAfee)
W32/Korgo.worm.b (Mc Afee)
W32.Korgo.A (Symantec)
W32.Korgo.B (Symantec)
W32.Korgo.C (Symantec)
W32.Korgo.D (Symantec)
W32.Korgo.E (Symantec)
W32.Korgo.F (Symantec)
W32.Korgo.G (Symantec)
W32.Korgo.H (Symantec)
W32.Korgo.I (Symantec)
WORM_KORGO.A (Trend Micro)
WORM_KORGO.B (Trend Micro)
WORM_KORGO.C (Trend Micro)

TAILLE :
variable

DECOUVERTE :
22/05/2004

DESCRIPTION DETAILLEE :
Les internautes à jour dans leurs correctifs de sécurité et notamment ceux qui ont mis à jour leur ordinateur suite à la propagation du virus Sasser n'ont rien à craindre de ce virus ou d'éventuelles variantes. Les autres ont tout intérêt à mettre à jour leur système via le site WindowsUpdate et à s'abonner à notre liste Secuser Alert pour être tenus informés de la disponibilité des nouveaux correctifs, car les failles de Windows peuvent être exploitées par d'autres virus ou d'autres individus douteux à des fins malveillantes.

NB : contrairement à ce qui a été annoncé par divers médias, Korgo ne contient pas de troyen keylogger et n'est pas donc capable d'espionner les frappes au clavier pour transmettre à son auteur des informations sensibles.
[align=center]"Quand une envie subite de travailler te prend. Allonges-toi et attends que ça passe"

Image[/align]

Avatar du membre
totoland
Administrateur
Administrateur
Messages : 4939
Enregistré le : 26.11.2002 11:29
Localisation : Lost somewhere

Sober.H (10/06/2004)

Message par totoland » 13.06.2004 17:23

Sober.H est un troyen qui se présente sous la forme d'un fichier au nom aléatoire (60 Ko). Si ce fichier est exécuté, Sober.H envoie des spams de propagande politique en allemand aux adresses présentes dans le carnet d'adresses Windows et divers autres fichiers du disque dur, en utilisant une adresse d'expéditeur falsifiée et sans y attacher de fichier infecté.

TYPE :
Ver

SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003

ALIAS :
Sober.H (F-Secure)
Troj/Sober-H (Sophos)
Trojan.Ascetic.A (Symantec)
W32.Sober.H@mm (Symantec)
WORM_SOBER.H (Trend Micro)

TAILLE :
59.747 octets

DECOUVERTE :
10/06/2004

DESCRIPTION DETAILLEE :
Sober.H est un troyen, c'est-à-dire un programme hostile incapable de se multiplier et de se propager par lui-même, contrairement aux virus. Il peut être installé sur l'ordinateur de sa victime par un virus ayant préalablement infecté l'ordinateur (notamment Sober.G) ou arriver en pièce jointe d'un spam.

Le troyen s'installe dans le répertoire System de Windows sous un nom aléatoire avec une extension en .EXE, modifie la base de registres afin d'être exécuté à chaque démarrage de l'ordinateur, désactive d'éventuelles précédentes versions du virus Sober puis envoie des spams à caractère politique aux contacts dont les adresses figurent dans le carnet d'adresses Windows ainsi que les fichiers .ABC, .ABD, .ABX, .ADB, .ADE, .ADP, .ADR, .ASP, .BAK, .BAS, .CFG, .CGI, .CLS, .CMS, .CSV, .CTL, .DBX, .DHTM, .DOC, .DSP, .DSW, .EML, .FDB, .FRM, .HLP, .IMB, .IMH, .IMM, .INBOX, .INI, .JSP, .LDB, .LDIF, .LOG, .MBX, .MDA, .MDB, .MDE, .MDW, .MDX, .MHT, .MMF, .MSG, .NAB, .NCH, .NFO, .NSF, .NWS, .ODS, .OFT, .PHP, .PL, .PMR, .PP, .PPT, .PST, .RTF, .SHTML, .SLK, .SLN, .STM, .TBB, .TXT, .UIN, .VAP, .VBS, .VCF, .WSH, .XHTML, .XLS, .XML présents sur le disque en évitant certains destinataires et en utilisant une adresse d'expéditeur falsifée. Il peut enfin se mettre à jour en téléchargeant et exécutant un fichier nommé winhlpx32ll.exe depuis le site web people.freenet.de.

Sober.H a été utilisé pour inonder les boîtes aux lettres de messages en allemand à caractère xénophobe à partir du 10/06/04, probablement pour tenter d'influer sur le cour des élections européennes du 13 juin.
[align=center]"Quand une envie subite de travailler te prend. Allonges-toi et attends que ça passe"

Image[/align]

Avatar du membre
totoland
Administrateur
Administrateur
Messages : 4939
Enregistré le : 26.11.2002 11:29
Localisation : Lost somewhere

Zafi.B (10/06/2004)

Message par totoland » 14.06.2004 20:35

Zafi.B est un virus qui se propage par email et via les dossiers partagés. Il se présente sous la forme d'un message dont le titre et le corps sont aléatoires, accompagné d'un fichier joint dont l'extension est .PIF (13 Ko). Rédigé en français, anglais ou une autre langue fonction du destinataire, il tente de se faire passer notamment pour une carte virtuelle du site ZDNet. Si le fichier joint est exécuté, le virus s'envoie aux adresses présentes dans le carnet d'adresses Windows ainsi que divers autres fichiers, tente de désactiver certains logiciels de sécurité, infecte certains fichiers exécutables puis se copie dans les dossiers partagés sous divers noms aguicheurs.


TYPE :
Ver

SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP

ALIAS :
Win32.Hazafi.30720 (Dialogue Science)
Zafi.B (F-Secure)
I-Worm.Zafi.b (Kaspersky)
W32/Zafi.b@MM (McAfee)
W32/Zafi-B (Sophos)
W32.Erkez.B@mm (Symantec)
PE_ZAFI.B (Trend Micro)

TAILLE :
12.800 octets

DECOUVERTE :
10/06/2004

DESCRIPTION DETAILLEE :
Le virus Zafi.B se présente sous la forme d'un message dont le titre et le corps sont aléatoires, rédigé dans une langue personnalisée en fonction de l'extension du nom de domaine de l'adresse électronique du destinataire (français, anglais, espagnol, russe, etc.). Quelques titres de message :

* E-carte!
* Claudine
* You`ve got 1 VoiceMessage!
* Don`t worry, be happy!
* Check this out kid!!!
* Importante!
* Katya
* [Nom ou pseudo divers]

Le corps du message est variable, plus ou moins personnalisé, mais incite toujours à ouvrir le fichier joint :

* [Expéditeur] vous a envoye une E-carte partir du site zdnet.fr
Vous la trouverez, l'adresse suivante link: http://zdnet.fr/showcard.index.php34bs42
www.zdnet.fr, plus de 3500 cartes virtuelles, vos pages web
en 5 minutes, du dialogue en direct...
* Surprise!
* Dear Customer!
You`ve got 1 VoiceMessage from voicemessage.com website!
Sender: [Expéditeur]
You can listen your Virtual VoiceMessage at the following link: http://virt.voicemessage.com/index.listen.php2=35affv or by clicking the attached link.
Send VoiceMessage! Try our new virtual VoiceMessage Empire! Best regards: SNAF.Team (R).
* Hi Honey!
I`m in hurry, but i still love ya... (as you can see on the picture)
Bye - Bye: [Expéditeur]
* Send me back bro, when you`ll be done...(if you know what i mean...)
See ya, [Expéditeur]
* Informacion importante que debes conocer, -
* [Aucun]

Le fichier joint possède un nom aléatoire avec une extension en .PIF. Quelques noms possibles :

* link.zdnet.fr.ecarte.index.php34b31.pif
* surprise.pif
* link.voicemessage.com.listen.index.php1Ab2c.pif
* www.ecard.com.funny.picture.index.nude.php356.pif
* jennifer the wild girl xxx07.jpg.pif
* link.informacion.phpV23.text.message.pif
* view.link.index.image.phpV23.sexHdg21.pif

Si ce fichier est exécuté, le virus se copie dans le répertoire System sous un nom aléatoire en .EXE ou .DLL, se copie dans les répertoires contenant le mot "share" ou "upload" (appartenant souvent à des logiciels P2P) sous le nom winamp 7.0 full_install.exe ou Total Commander 7.0 full_install.exe, modifie la base de registres afin d'être exécuté à chaque démarrage de l'ordinateur, puis s'envoie automatiquement aux contacts dont les adresses figurent dans le carnet d'adresses Windows ainsi que les fichiers .ADB, .ASP, .DBX, .EML, .HTM, .MBX, .PHP, .PMR, .SHT, .TBB et .TXT présents sur le disque, parfois en grand nombre. Zafi.B tente enfin de terminer les applications contenant dans leur nom le mot "virus" ou "firewall", écrase les fichiers concernés en les remplaçant par une copie de lui-même et désactive certains utilitaires de Windows comme le Gestionnaire des tâches ou l'Editeur du Registre pour tenter d'empêcher une désinfection manuelle.
[align=center]"Quand une envie subite de travailler te prend. Allonges-toi et attends que ça passe"

Image[/align]

Avatar du membre
totoland
Administrateur
Administrateur
Messages : 4939
Enregistré le : 26.11.2002 11:29
Localisation : Lost somewhere

Scob (24/06/2004)

Message par totoland » 16.07.2004 20:56

Scob est un troyen qui se présente sous la forme d'un bout de code Javascript inséré dans une page web. Si ce script est exécuté, Scob redirige l'internaute vers un site web piégé qui déclenche le téléchargement et l'exécution automatique d'un fichier hostile (généralement un cheval de Troie) si l'internaute utilise une version vulnérable du navigateur Internet Explorer.


TYPE :
Troyen

SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003

ALIAS :
Berbew
JS.Toofer (Computer Associates)
Download.Ject (F-Secure)
JS/Exploit-DialogArg.b (McAfee)
BackDoor-AXJ.gen (Mc Afee)
JS/Scob-A (Sophos)
JS.Scob.Trojan (Symantec)
Backdoor.Berbew (Symantec)
Backdoor.Berbew.G (Symantec)
JS_SCOB.A (Trend Micro)
Trojan.JS.Scob.a
Webber

TAILLE :
variable

DECOUVERTE :
24/06/2004

DESCRIPTION DETAILLEE :
Scob est un troyen, c'est-à-dire un script hostile incapable de se propager par lui-même, contrairement aux virus. Plusieurs sites web hébergés sur des serveurs Microsoft IIS 5.0 - dont certains seraient relativement populaires - ont été compromis depuis le 22 juin 2004. Leurs pages intégraient ainsi un exemplaire du troyen Scob et provoquaient le téléchargement du troyen Berbew (également connu sous les nom Webber ou Padodor) chez les internautes utilisant une version vulnérable du navigateur Internet Explorer, avant la fermeture du serveur utilisé par Scob. Le troyen Berbew installe un keylogger espionnant les frappes au clavier (nom d'utilisateur/mot de passe pour les service .paypal.com, signin.ebay., .earthlink., .juno.com, my.juno.com/s/, webmail.juno.com et.yahoo.com ainsi que les numéros de cartes bancaires) et envoie ces données à un probable individu malveillant.

Selon l'hypothèse la plus probable, ces serveurs auraient été piratés en utilisant la faille PCT (serveurs non patchés ou compromis avant l'installation du patch au moyen d'une porte dérobée) afin d'installer le troyen Scob et de tenter de compromettre les visiteurs des sites correspondants utilisant Internet Explorer. Contrairement à ce qu'ont affirmé certains médias, il n'a pas été constaté de propagation d'un nouveau virus ciblant les internautes ni ciblant les serveurs Microsoft IIS 5.0. Le serveur utilisé par Scob étant est fermé depuis le jeudi 24/06/04 dans la soirée, tout risque d'infection par cette version du troyen est désormais écarté.

La liste des sites infectés par Scob n'a pas été rendue publique mais il est probable que la majorité sont américains ou étrangers. Les utilisateurs désireux de se rassurer peuvent analyser leur disque dur avec un antivirus à jour ou avec l'antivirus gratuit en ligne afin de s'assurer de l'absence de Scob ou de tout autre troyen connu. Il est possible de désactiver Javascript et ActiveScripting pour limiter les risques d'infection par une éventuelle nouvelle variante mais cela altère de façon significative la navigation : au moins en attendant le correctif ou le prochain Service Pack, les utilisateurs soucieux de leur sécurité peuvent remplacer Internet Explorer par le navigateur Mozilla, alternative gratuite et libre par définition insensible aux failles affectant IE.

L'utilisation d'un site web piégé pour infecter les internautes, le fait qu'un site web connu soit piraté et que son contenu soit modifié, ou le fait que les internautes soient massivement exposés à un troyen ne sont pas des éléments nouveaux : le virus Bizex utilisait déjà un tel procédé, des dizaines de sites sont "défacés" chaque jour et des virus majeurs comme Bugbear (30/09/2002) ou plus récemment Dumaru.Y (24/01/04) installaient déjà un troyen keylogger sur l'ordinateur de leurs victimes. L'originalité de l'attaque provient d'une part de la combinaison de ces différents éléments et d'autre part de son envergure, afin d'utiliser le piratage de sites web plus ou moins connus dans le but de s'attaquer directement à leurs visiteurs. Pour l'instant il n'est pas possible de déterminer si cette attaque a été organisée dans un but véritablement frauduleux ou si elle constitue uniquement un coup médiatique destiné à profiter du retard dans la disponibilité du Service Pack 2 de Windows XP, une mise à jour majeure destinée à améliorer la sécurité des utilisateurs (les internautes ayant installé le Service Pack 2 RC2 sont protégés contre Scob), dans le but de décrédibiliser Microsoft.
[align=center]"Quand une envie subite de travailler te prend. Allonges-toi et attends que ça passe"

Image[/align]

Verrouillé