Le nombre des virus, vers, logiciels espions et robots placés sur des réseaux informatiques dans le monde était de 1.122.311 à la fin de l'année 2007, dont près des deux tiers ont été créés au cours de cette même année, constate la firme de securité Symantec dans son dernier rapport semestriel sur les menaces pesant sur la sécurité d'Internet.
Ces logiciels parasites tirent parti de la logique du Web 2.0, plutôt que de nourrir des attaques massives, ils visent de plus en plus des ordinateurs individuels fonctionnant de façon légitime au sein de réseaux transformés en agents de dissémination.
Lire la suite...
"Le Web lui-même est maintenant le premier canal pour mener des attaques", relève la firme qui est le leader mondial de son secteur.
Derrière la cible informatique, c'est en fait l'utilisateur lui-même qui est l'objet de la cybercriminalité, il s'agit de tirer parti de sa confiance à l'endroit de certains sites, comme les réseaux sociaux, afin qu'il laisse agir sur son ordinateur et qu'il ouvre sans méfiance les documents qu'il y charge.
Le logiciel espion, aussi appelé "cheval de troie", qui permet de prendre le contrôle d'une machine connectée au réseau, représente 71% des cinquante codes infectieux les plus utilisés au cours du second semestre 2007.
Mais le "Mpack" ou le "Icepack Web-Attack", des boîtes à outils informatiques vendues sur le marché noir de la criminalité, diffusent deux nouvelles tendances:
- La modification furtive des navigateurs - La modification discrète de pages Internet (en anglais, le "phishing"), notamment sur des sites financiers.
L'ARABIE SAOUDITE, PAYS LE PLUS VISÉ.
Selon ce rapport, la criminalité en ligne agit de façon plus mobile que jamais. Le "phishing", qui semblait trouver sa source pour 60% dans des organisations russes piratant des sites européens au cours du premier semestre 2007, s'est tournée vers la Chine pour installer ses activités en ligne au cours du second semestre.
Les pays peu protégés ou mal équipés sont les premiers visés.
Le Pérou fournit ainsi 9% des attaques en ligne contre les vingt-cinq pays les mieux équipés en haut débit, alors que 80% de ses internautes utilisent des cybercafés.
Le pays le plus "délinquant" du monde est l'île de Guam dans le Pacifique 39% de ses 2.700 abonnés au haut débit ont vu leur ordinateur utilisés pour du "phishing".
Les Etats-Unis maintiennent toutefois leur double position de leader, ils fournissent le quart des attaques sur le réseau et sont la cible de 30% d'entre elles, des chiffres stables.
En Europe, Madrid est le paradis des "bots", les robots qui répètent des opérations jusqu'à saturation et effondrement des sites.µ Les ordinateurs avec des adresses IP de Telecom Italia sont les plus détournés, même si 19% de la criminalité informatique sur le Vieux Continent vise l'Allemagne.
Et 52% des attaques en direction de l'Europe proviennent des Etats-Unis. Le pays le plus visé reste l'Arabie saoudite.
Quant au modeste spam qui pollue le courrier électronique de la terre entière, selon Symantec, il est en hausse, il représentait 71% des courriels échangés dans le monde au cours du second semestre 2007, contre 61% pour la même période un an plus tôt.
Alerte Phishing
Une attaque par phishing cible les utilisateurs du logiciel de téléphonie par Internet Skype.
Elle se présente sous la forme d'un courrier électronique en anglais intitulé "Please Update Your Billing Information", envoyé en apparence par l'éditeur du logiciel (Skype no-reply "skype-noreply@skype.com").
Lire la suite...
Sous prétexte d'une mise à jour de ses informations, le message invite le destinataire à cliquer sur un lien puis à se connecter à son compte puis à ressaisir un grand nombre de données bancaires et personnelles
Il ne faut pas cliquer sur le lien contenu dans le mail car il conduit à une imitation du site de Skype contrôlée par un pirate, hébergée sur un serveur situé en Israël mais avec un domaine chinois (.cn).
secunews.orgconseille à tous les utilisateurs de s’assurer qu’ils disposent sur leur ordinateur d’un antivirus configuré pour se mettre à jour automatiquement et fréquemment, des derniers correctifs de sécurité diffusés,d’un logiciel pare-feu,éviter le plus possible les sites Web inconnus ou peu recommandables et de vous mefiez des mails recus de prevonnance inconnue afin d’empêcher que vos PC ne deviennent un élément d’un réseau de zombie (botnet)
Une attaque par phishing cible les utilisateurs du logiciel de téléphonie par Internet Skype.
Elle se présente sous la forme d'un courrier électronique en anglais intitulé "Please Update Your Billing Information", envoyé en apparence par l'éditeur du logiciel (Skype no-reply "skype-noreply@skype.com").
Lire la suite...
Sous prétexte d'une mise à jour de ses informations, le message invite le destinataire à cliquer sur un lien puis à se connecter à son compte puis à ressaisir un grand nombre de données bancaires et personnelles
Il ne faut pas cliquer sur le lien contenu dans le mail car il conduit à une imitation du site de Skype contrôlée par un pirate, hébergée sur un serveur situé en Israël mais avec un domaine chinois (.cn).
secunews.orgconseille à tous les utilisateurs de s’assurer qu’ils disposent sur leur ordinateur d’un antivirus configuré pour se mettre à jour automatiquement et fréquemment, des derniers correctifs de sécurité diffusés,d’un logiciel pare-feu,éviter le plus possible les sites Web inconnus ou peu recommandables et de vous mefiez des mails recus de prevonnance inconnue afin d’empêcher que vos PC ne deviennent un élément d’un réseau de zombie (botnet)
Une nouvelle attaque par phishing cible les clients du fournisseur d'accès Chello/Numericable.
Elle se présente sous la forme d'un courrier électronique en mauvais français intitulé "Please Verify Your Email Address", envoyé en apparence par CHELLO Webmail Support (support@chello.fr)
Lire la suite...
Sous prétexte d'une validation du compte, le message demande à l'internaute de répondre au courrier électronique après avoir indiqué son mot de passe à un emplacement précis du texte.
Il ne faut pas répondre au courriel car l'adresse de réponse réelle (chellosupportteam@gmail.com) n'est pas une adresse officielle du fournisseur d'accès mais appartient à un individu malveillant cherchant à s'emparer de comptes de courrier Chello/Numericable.
secunews.orgconseille à tous les utilisateurs de s’assurer qu’ils disposent sur leur ordinateur d’un antivirus configuré pour se mettre à jour automatiquement et fréquemment, des derniers correctifs de sécurité diffusés,d’un logiciel pare-feu,éviter le plus possible les sites Web inconnus ou peu recommandables et de vous mefiez des mails recus de prevonnance inconnue afin d’empêcher que vos PC ne deviennent un élément d’un réseau de zombie (botnet)
RSPlug.A est un cheval de Troie qui cible les ordinateurs fonctionnant sous le système d'exploitation Mac OS X d'Apple (les utilisateurs de Windows ne sont pas concernés).
Il se présente sous la forme d'un faux codec vidéo prétendument nécessaire à la visualisation de vidéos gratuites, le plus souvent à caractère pornographique.
Lire la suite...
RSPlug.A est un programme malicieux de type cheval de Troie, c'est-à-dire un programme hostile incapable de se multiplier et de se propager par lui-même contrairement aux virus.
Il peut arriver en pièce jointe d'un mail via la technique du spam, mais le mode de contamination le plus fréquemment rencontré est la publication de messages dans des forums de discussion incitant les internautes à visiter des sites pornographiques piégés.
Lorsque l'internaute tente d'ouvrir une vidéo, ces derniers affichent un faux message d'erreur indiquant que le lecteur QuickTime n'est pas capable d'ouvrir le fichier et proposant d'installer un nouveau codec qui est en fait le cheval de Troie ("Quicktime Player is unable to play movie file. Please click here to download new version of codec."). Si l'utilisateur obtempère et saisit son mot de passe administrateur pour exécuter le fichier, RSPlug.A s'installe.
De type DNSChanger, le cheval de Troie RSPlug.A modifie la gestion des noms de domaine, de sorte que l'internaute qui tenterait d'accéder à un site web légitime en saisissant son adresse exacte dans le navigateur peut se retrouver redirigé à son insu vers une copie du site contrôlée par un individu malveillant.
Cela rend possibles diverses attaques et arnaques, telles que le phishing, l'espionnage ou l'affichage de publicités intrusives. RSPlug.A cible les ordinateurs fonctionnant sous le système d'exploitation Mac OS X, les ordinateurs sous Windows ne peuvent pas être pas infectés, mais des équivalents tels que Torpig existent pour ce système.
secunews.orgconseille à tous les utilisateurs de s’assurer qu’ils disposent sur leur ordinateur d’un antivirus configuré pour se mettre à jour automatiquement et fréquemment, des derniers correctifs de sécurité diffusés,d’un logiciel pare-feu,éviter le plus possible les sites Web inconnus ou peu recommandables et de vous mefiez des mails recus de prevonnance inconnue afin d’empêcher que vos PC ne deviennent un élément d’un réseau de zombie (botnet)
Il se présente sous la forme d'un message en anglais ou allemand accompagné d'un fichier joint dont le nom est variable et dont l'extension est .ZIP, en tentant de se faire passer pour un message d'erreur en réponse à un courrier électronique prétendument envoyé par le destinataire.
Le ver Sober.AA se présente sous la forme d'un message en anglais ou allemand dont le titre et le corps sont variables.
Les titres de message :
- Error in your eMail - Your Updated Password! - Ihr Passwort wurde geaendert! - Fehlerhafte Mailzustellung - Ihr Account wurde eingerichtet!
Le corps du message est également un texte en anglais:
1- Your eMail has occurred an unknown error on our Server. Please read your mail and check the text. The full email is attached! *** auto mailerdaemon X.Path 4.2 *** (c) by [nom de domaine de l'adresse électronique de l'expéditeur]
2. You notified us that you have forgotten your password. We have changed your password to a random sequence of letters and digits! For more detailed information, see the attached password file...
3. Ihr Passwort wurde erfolgreich geaendert.Ihre neuen Account-Daten und Passwort befinden sich gesichert im Anhang!
4. Diese Nachricht wurde Automatisch generiert. - Ihre EMail konnte nicht empfangen oder gesendet werden.
5. Danke das Sie sich fuer uns entschieden haben.Um ihren neuen Account zu aktivieren, folgen sie der kurzen Anleitung im Anhang. Es sind nur 2 Schritte noetig!
La pièce jointe est un fichier dont la taille est 87 Ko, possédant une extension .ZIP et un nom aléatoire :
Si ce fichier joint est exécuté, le virus se copie dans le répertoire système de Windows, affiche un faux message d'erreur pour faire diversion ("WinZip Header is missing!"), modifie la base de registres pour s'exécuter à chaque démarrage de l'ordinateur.
Il s'envoie ensuite automatiquement aux adresses figurant dans le carnet d'adresses Windows et divers fichiers, puis tente de télécharger et d'exécuter un fichier depuis un site web distant.
(source:secuser)
secunews.orgconseille à tous les utilisateurs de s’assurer qu’ils disposent sur leur ordinateur d’un antivirus configuré pour se mettre à jour automatiquement et fréquemment, des derniers correctifs de sécurité diffusés,d’un logiciel pare-feu,éviter le plus possible les sites Web inconnus ou peu recommandables et de vous mefiez des mails recus de prevonnance inconnue afin d’empêcher que vos PC ne deviennent un élément d’un réseau de zombies
Warezov.FB ou W32/Stration-CH est un Ver qui se propage par mail.
Il se présente sous la forme d'un message dont le titre est aléatoire, accompagné d'un fichier dont l'extension est .BAT, .CMD, .EXE, .PIF ou .ZIP, en tentant de se faire passer pour un message d'erreur ou une mise à jour de sécurité.
Lire la suite...
Si ce fichier est exécuté, le virus s'envoie aux adresses récoltées sur l'ordinateur puis tente de télécharger et d'exécuter un fichier depuis un site web.
Systemes Concernes:
- Windows 95 - Windows 98 - Windows Me - Windows NT - Windows 2000 - Windows XP - Windows 2003 Alias :
Le virus Warezov.FB se présente sous la forme d'un message dont le titre, le corps et le nom du fichier joint sont variables Les titres de message :
- Error - Good Day - hello - Mail Delivery System - Mail server report - Mail Transaction Failed - picture - Server Report - Status
Le corps du message est également un texte en anglais :
- Mail transaction failed. Partial message is available. - The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment. - The message contains Unicode characters and has been sent as a binary attachment. - Mail server report. Our firewall determined the e-mails containing worm copies are being sent from your computer. Nowadays it happens from many computers, because this is a new virus type (Network Worms). Using the new bug in the Windows, these viruses infect the computer unnoticeably. After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail addresses Please install updates for worm elimination and your computer restoring. Best regards, Customers support service
La pièce jointe est un fichier possédant un nom aléatoire choisi parmi les possibilités ci-dessous et une extension .BAT, .CMD, .EXE, .PIF ou .ZIP (exemple Update-KB1984-x86.exe), voire une double extension .DAT, .DOC, .ELM, .LOG, .MSG, .TXT destinée à tromper les utilisateurs (exemple : document.elm.cmd) :
- docs - document - file - message - readme - text - test - data - body - Update-KB[nombre aléatoire]-x86
Si ce fichier est exécuté:
- Le virus affiche un texte aléatoire via le Notepad de Windows ou faux message de confirmation de l'installation de la mise à jour de sécurité pour faire diversion - Puis se copie dans le répertoire système de Windows - Modifie la base de registres pour s'exécuter automatiquement à chaque démarrage de l'ordinateur - S'envoie automatiquement aux adresses figurant dans le carnet d'adresses Windows et divers fichiers - Puis tente de télécharger et d'exécuter un fichier depuis un sites web distant.
secunews.orgconseille à tous les utilisateurs de s’assurer qu’ils disposent sur leur ordinateur d’un antivirus configuré pour se mettre à jour automatiquement et fréquemment, des derniers correctifs de sécurité diffusés,d’un logiciel pare-feu,éviter le plus possible les sites Web inconnus ou peu recommandables et de vous mefiez des mails recus de prevonnance inconnue afin d’empêcher que vos PC ne deviennent un élément d’un réseau de zombies
Le spécialiste de la sécurité des réseaux Sophos vient de découvrir une nouvelle version du ver Stration, diffusée via les systèmes de messagerie.
Lire la suite...
W32/Stratio-AN est largement distribué par son auteur depuis lundi matin par mails, empruntant divers camouflages, dont l’un se présente ironiquement comme un message avertissant le destinataire que son ordinateur est infecté, et lui proposant en pièce jointe un outil de désinfection.
C’est cette dernière qui contient en réalité le programme malicieux, sous forme d’un fichier zippé.
"Subject line: Mail server report.
Message text: Mail server report.
Our firewall determined the e-mails containing worm copies are being sent from your computer.
Nowadays it happens from many computers, because this is a new virus type (Network Worms).
Using the new bug in the Windows, these viruses infect the computer unnoticeably. After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail addresses
Please install updates for worm elimination and your computer restoring.
Best regards, Customers support service
Attached file: Update-KB7859-x86.zip (which contains the file Update-KB7859-x86.exe)"
"De nombreux utilisateurs de Windows attendent avec anxiété que microsoft corrige la faille VML, qui a déjà été exploitée par des pirates", commente Christian Pijoulat, Directeur Général de Sophos France et Europe du Sud.
"Il est fort possible que ceux qui se cachent derrière le ver Stration veuillent profiter de l’inquiétude grandissante des membres de la communauté Internet d’être laissés sans protection par Microsoft. Ils peuvent ainsi plus efficacement convaincre leurs victimes de cliquer sur la pièce jointe et d’activer le virus sur leur ordinateur. La leçon à en tirer est que les correctifs de sécurité doivent toujours être téléchargés sur le site officiel de l’éditeur, et en aucun cas à partir d’un courriel non sollicité."
SYSTEMES CONCERNES:
- Windows 95 - Windows 98 - Windows Me - Windows NT - Windows 2000 - Windows XP - Windows 2003 ALIAS:
secunews.orgconseille à tous les utilisateurs de s’assurer qu’ils disposent sur leur ordinateur d’un antivirus configuré pour se mettre à jour automatiquement et fréquemment, des derniers correctifs de sécurité diffusés,d’un logiciel pare-feu,éviter le plus possible les sites Web inconnus ou peu recommandables et de vous mefiez des mails recus de prevonnance inconnue afin d’empêcher que vos PC ne deviennent un élément d’un réseau de zombies
Après Bryce 5, encore gratuit jusqu'au 6 septembre, voici que e-frontier, via Content Paradise, propose gratuitement Poser 5.
Vendu initialement au prix de 79,99 $, ce logiciel de création de personnages 3D vous est offert uniquement si vous vous inscrivez (gratuitement) sur le site.
Lire la suite...
Cette gratuité, qui a commencé le 1er septembre dernier, ne durera plus très longtemps malheureusement puisque sa fin est annoncée au 4 septembre à 23h59 et 59 secondes, heure du Pacifique (PST), c'est-à-dire UTC moins 8 heures.
En somme, il ne reste que peu de temps.
Seul problème, le site semble lui aussi avoir connu un succès particulièrement trop grand. Il peut ainsi être indisponible, se révéler assez lent ou même, après inscription, vous afficher ce magnifique message :
"Download Limit Reached.
Due the the high demand for the Poser 5 free download your download has been delayed temporarily please wait several hours before attempting to download again.
We apologize for the inconvenience however your Poser 5 free download will remain available to you through the MyStuff tab indefinitely".
En théorie, cela ne devrait pas être dramatique, car après votre achat gratuit, vous recevrez un mail avec deux liens vous permettant de télécharger les 644Mo du logiciel.
Si les créateurs de Poser 5 ont un minimum de jugeote, ces liens devraient donc fonctionner même après la date fatidique.
Fonctionnant autant sous Windows que Mac OS, Poser 5 n'est pas la dernière version du logiciel puisqu'il en existe déjà une version 6, payante bien entendu.
Il est certain que ce cadeau n'arrive pas par hasard, Poser et Bryce étant souvent mis en opposition, même si bien d'autres logiciels similaires existent, qu'ils soient payants ou gratuits.
Des mails non sollicités confirmant l'achat d'un iPod ne sont qu'une ruse pour tenter d'infecter les destinataires avec un cheval de Troie.
Les messages déclarent qu'un commerce électronique a débité une somme de 479,95 $US d'un compte E-Gold et que le baladeur numérique a été expédié.
Lire la suite...
"Dear <email address>, Please read the following message carefully.
We notify that your order was approved and shipped to you via FedEx 2Day Service, track 792531968828. The amount of $479.95 USD was recieved from your e-gold account. The details of transaction and specification of chosen product we send you in self-extracting compressed-zip file. Read it carefully to make sure that there's no mistakes in characteristics of chosen product. We appreciate your choice! According to the rules, refund must be based on your original method of payment. Any requests to refund using e-gold are not accepted, if the payment method was credit card.
IPod For Your, Yahoo Shopping"
Les destinataires sont ensuite cordialement invités à ouvrir le fichier joint censé contenir tous les détails sur la transaction et le produit acheté.
Sans surprise, le fichier exécutable est en réalité un logiciel malveillant, plus précisément la première variante connue du cheval de Troie baptisé Troj/Dowdec-A par la firme Sophos.
La nuisance s'installe dans le dossier système de Windows sous le nom msvoid.dll, s'enregistre en tant que module d'extension pour Internet Explorer et tente ensuite de télécharger d'autres logiciels indésirables sur le PC qu'elle contamine.
secunews.orgconseille à tous les utilisateurs de s’assurer qu’ils disposent sur leur ordinateur d’un antivirus configuré pour se mettre à jour automatiquement et fréquemment, des derniers correctifs de sécurité diffusés,d’un logiciel pare-feu,éviter le plus possible les sites Web inconnus ou peu recommandables et de vous mefiez des mails recus de prevonnance inconnue afin d’empêcher que vos PC ne deviennent un élément d’un réseau de zombies
Ulimit, fournisseur de nom de domaine gratuit, a eu quelques problèmes. Durant prés de 12 heures....
Lire la suite....
comme vous avez pus le constatez ceux qui ce connectait via notre ancien url www.pc2005.fr.st qui maintenant est devenu www.pc2005.tk non pus accedez a notre site les causes en sont les suivantes
les sites ayant un domaine en .fr.st étaient inaccessibles.
La page française d'Ulimit affichait une erreur de base SQL. "impossible de se connecter, un message d'erreur : "Error-500 This domain name is temporarly unavailable. Please come back a minute. Ce nom de domaine est temporairement indisponible. Revenez dans quelques minutes." Tout semble être rentré dans l'ordre.
<P align=center><B><FONT face="Arial,Helvetica" color="white" size="3"><span style="background-color:red;"><IMG height=16 src="http:///secunews.zolexmsn.com/mes_images/girophare.gif" width=16> Alerte Virus <IMG height=16 src="http:///secunews.zolexmsn.com/mes_images/girophare.gif" width=16>
</span></FONT></B></P></body>
<b>Inforyou.A</b> est un virus qui se propage par E.mail.
Il se présente sous la forme d'un <b>message en anglais</b> dont le titre et le corps sont <b>aléatoires</b>
Lire la suite...
La pièce jointe possède un nom aléatoire et une extension en <b>.PIF ou .ZIP</b>(71 Ko).
L'accès àce dernier peut être <b>protégé par un mot de passe fourni dans le corps du message</b>, afin de tenter d'empêcher les passerelles <b>antivirus de détecter et de supprimer le virus</b>.
Quelques exemples :
* details4.pif
* NWUpdate.pif
* 6MyPhoto.zip
en se faisant passer notamment pour <b>un message officiel d'une banque</b> destiné àpermettre au destinataire d'accéder àson compte en ligne ou àle débloquer suite àune <b>prétendue fraude</b>.
Si ce fichier est <b>exécuté</b>, le virus se copie dans le <b>répertoire System de Windows</b> sous un nom aléatoire, <b>modifie la base de registres</b> pour s'exécuter automatiquement à<b>chaque démarrage de l'ordinateur</b>, s'envoie aux contacts présents dans le <b>carnet d'adresses Windows</b> ainsi qu'aux <b>adresses mails collectées dans divers autres fichiers de l'ordinateur</b> en utilisant une adresse d'expéditeur usurpée ou falsifiée, puis lance des <b>attaques par déni de service</b> contre les sites web suivants, pour tenter de <b>les rendre inacessibles</b> :
(source:secuser)
Nous vous parlions, en janvier dernier, de <b>courriers électroniques des plus étranges signés par le FBI, le Federal Bureau Investigation</b>.
Lire la suite...
Depuis quelques jours ce mail <b>arrive dans les boites électroniques françaises</b>.
Le message, en <b>anglais</b>, indique que
"votre Ip a été détecté lors d'un téléchargement illégal, ou via une tentative de piratage".
<b>Un fichier joint vous invite àcliquer pour y lire son contenu</b>.
Un conseil, ne <b>tremblez plus, Mulder et Scully ne vont pas encore débarquer chez vous</b>.
Ce courrier est un <b>piége, un mail vérolé</b>.
Direction la <b>Poubelle</b> !
Un des mails que vous pouvez recevoir :
<P align=center><B><FONT face="Arial,Helvetica" color="white" size="3"><span style="background-color:red;"><IMG height=16 src="http://www.secunews.org/mes images/girophare.gif" width=16> Alerte Virus <IMG height=16 src="http://www.secunews.org/mes images/girophare.gif" width=16>
</span></FONT></B></P></body>
<b>Mydoom.BQ</b> est un <b>virus</b> qui se <b>propage par mail</b>.
Il se présente sous la forme d'un message en <b>anglais</b> dont le <b>titre</b> et le <b>corps sont aléatoires</b>, accompagné d'un <b>fichier joint</b> dont l'extension est <b>.bat, .cmd, .exe, .pif, .scr ou .zip</b> (33 Ko).
Lire la suite...
Il incite l'utilisateur à<b>exécuter le fichier joint</b> sous prétexte de <b>débloquer son compte ou par mesure de sécurité</b>.
Si ce fichier est <b>exécuté, le virus s'envoie</b> aux adresses figurant dans le <b>carnet d'adresses Windows</b> et divers autres fichiers, <b>installe un backdoor</b> (porte dérobée) autorisant <b>la prise de contrôle àdistance de l'ordinateur infecté</b> par un individu malveillant, <b>désactive certains antivirus et pare-feux personnels</b>, puis <b>modifie le système</b> pour <b>empêcher la connexion aux sites des principaux éditeurs d'antivirus</b>.
<u>System Concernes</u> :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003
<u>Alias</u> :
Worm/Mydoom.BK (AntiVir)
Win32:Mytob-BV (Avast)
Net-Worm.Win32.Mytob.au (KAV)
W32/Mytob-AU (Sophos)
W32.Mydoom.BQ@mm (Symantec)
WORM_MYTOB.EG (Trend Micro)
<u>Description Détaillées</u> :
<b>Mydoom.BQ</b> se présente sous la forme d'un message en <b>anglais</b> dont le <b>titre</b> et le <b>corps</b> sont <b>aléatoires</b>.
<u>Les titres de messages</u> :
- Notice: **Last Warning**
- Your email account access is restricted
- Your Email Account is Suspended For Security Reasons
- Notice:***Your email account will be suspended***
- Security measures
- Email Account Suspension
- *IMPORTANT* Please Validate Your Email Account
- *IMPORTANT* Your Account Has Been Locked
<u>Le corps du message est variable</u> :
- Once you have completed the form in the attached file , your account records will not be interrupted and will continue as normal.
- To unblock your email account acces, please see the attachment.
- Follow the instructions in the attchment.
- We have suspended some of your email services, to resolve the problem you should read the attached document.
- To safeguard your email account from possible termination, please see the attached file.
- please look at attached document.
- Account Information Are Attached!
<u>La pièce jointe possède une extension en <b>.BAT, .CMD, .EXE, .PIF, .SCR ou .ZI</b> (33 Ko) et un nom aléatoire</u> :
- IMPORTANT
- INFO
- document_full
- email-doc
- email-info
- email-text
- info-text
- information
- your_details
Si ce fichier est <b>exécuté</b>, le virus se <b>copie dans le répertoire System</b> sous le nom <b>internet.exe</b>, modifie <b>la base de registres</b> pour s'exécuter à<b>chaque démarrage</b> de l'ordinateur, s'envoie aux adresses figurant dans le <b>carnet d'adresses Windows et divers autres fichiers</b> en évitant certains destinataires et en utilisant <b>une adresse d'expéditeur falsifiée</b>, <b>installe un backdoor</b> ( une porte dérobée) autorisant <b>la prise de contrôle àdistance</b> de l'ordinateur infecté par un individu malveillant, <b>modifie le fichier Hosts de Windows</b> pour empêcher l'utilisateur d'accéder aux sites web des <b>principaux éditeurs d'antivirus</b>, puis <b>désactive les antivirus, pare-feux personnels</b> ou utilitaires suivants :
- PandaAVEngine.exe
- cmd.exe
- msconfig.exe
- navapw32.exe
- navw32.exe
- netstat.exe
- regedit.exe
- taskmgr.exe
- wincfg32.exe
- zapro.exe
- zonealarm.exe
<b>N'hésiter pas d'utilise notre antivirus en ligne dans le menu de droite si vous n en pocéder pas</b> ;)
<P align=center><B><FONT face="Arial,Helvetica" color="white" size="3"><span style="background-color:red;"><IMG height=16 src="mes images/girophare.gif" width=16> Alerte Virus <IMG height=16 src="mes images/girophare.gif" width=16>
</span></FONT></B></P></body>
<b>Mydoom.BU</b> est un <b>virus</b> qui se propage par <b>mail</b>.
Il se présente sous la forme d'un message en <b>anglais</b> dont le titre et le corps sont <b>aléatoires</b>, accompagné d'un fichier dont l'extension est <b>.bat, .cmd, .exe, .pif, .scr ou .zip</b> (49 Ko), incitant l'utilisateur à<b>exécuter le fichier joint</b> sous prétexte de <b>débloquer son compte</b> ou par mesure de <b>sécurité</b>.
Lire la suite...
Si ce fichier est <b>exécuté</b>, le <b>virus</b> s'envoie aux adresses figurant dans le <b>carnet d'adresses Windows</b> et <b>divers</b> autres fichiers, installe une <b>porte dérobée</b> (backdoor) autorisant la <b>prise de contrôle àdistance</b> de l'ordinateur infecté par un individu <b>malveillant</b>, désactive certains <b>antivirus et pare-feux</b> personnels, puis modifie le <b>système</b> pour empêcher la connexion aux sites des principaux <b>éditeurs d'antivirus</b>.
<u>Systemes Concernes</u> :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003
<u>Alias</u> :
Worm/Mytob.DX (AntiVir)
Win32:Mytob-CP (Avast)
Win32.Mydoom.1.Gen@mm (BitDefender)
Worm.Mytob.BZ (ClamAV)
W32/Mytob.DW@mm (F-Prot)
Net-Worm.Win32.Mytob.az (KAV)
Win32/Mytob.CX (NOD32)
W32/Mytob.ES (Norman)
W32/Mytob.DR.worm (Panda Software)
W32/Mytob-L (Sophos)
W32.Mydoom.BU@mm (Symantec)
WORM_MYTOB.FC (Trend Micro)
<u>Description Detaillees</u> :
<b>Mydoom.BU</b> se présente sous la forme d'un message en <b>anglais</b> dont le titre et le corps sont <b>aléatoires</b>
<u>Les titres de messages</u> :
- Notice: **Last Warning**
- *DETECTED* Online User Violation
- Your Email Account is Suspended For Security Reasons
- Account Alert
- Important Notification
- *WARNING* Your Email Account Will Be Closed
- Security measures
- Email Account Suspension
- Notice of account limitation
Le corps du message est variable :
- Once you have completed the form in the attached file , your account records will not be interrupted and will continue as normal.
- The original message has been included as an attachment.
- We regret to inform you that your account has been suspended due to the violation of our site policy, more info is attached.
- We attached some important information regarding your account.
- Please read the attached document and follow it's instructions.
La pièce jointe possède une extension en <b>.BAT, .CMD, .EXE, .PIF, .SCR ou .ZIP</b> (49 Ko) et un nom <b>aléatoire</b> :
- email-info
- email-doc
- information
- account-details
- document
- INFO
- instructions
- info-text
- information
Si ce fichier est <b>exécuté</b>, le <b>virus</b> se copie dans le répertoire <b>System</b> sous le nom <b>nec.exe</b>, modifie la <b>base de registres</b> pour s'exécuter à<b>chaque démarrage</b> de l'ordinateur, s'envoie aux adresses figurant dans le <b>carnet d'adresses Windows</b> et <b>divers</b> autres fichiers en évitant certains destinataires et en utilisant une <b>adresse d'expéditeur falsifiée</b>, installe une <b>porte dérobée</b> (backdoor) autorisant la <b>prise de contrôle àdistance</b> de l'ordinateur infecté par un individu malveillant, modifie le fichier <b>Hosts de Windows</b> pour empêcher l'utilisateur d'accéder aux sites web des principaux <b>éditeurs d'antivirus</b>, puis tente de <b>désactiver près de 600 antivirus, pare-feux personnels ou utilitaires</b>.
(source:secuser)
<P align=center><B><FONT face="Arial,Helvetica" color="white" size="3"><span style="background-color:red;"><IMG height=16 src="mes images/girophare.gif" width=16> Alerte Virus <IMG height=16 src="mes images/girophare.gif" width=16>
</span></FONT></B></P></body>
<b>Mytob.BI</b> est un <b>virus</b> qui se propage par <b>mail</b> et par <b>le réseau</b>.
Il se présente sous la forme d'un <b>message en anglais</b> dont le <b>titre et le corps sont variables</b>, accompagné d'un <b>fichier joint</b> dont l'extension est <b>.bat, .cmd, .exe, .pif, .scr ou .zip</b> (61 Ko)
Lire la suite...
Mais peut également <b>infecter automatiquement</b> un ordinateur <b>non àjour dans ses correctifs</b> lors de <b>sa connexion</b> àInternet en exploitant une faille connue de Windows.
<u>System Concernés</u> :
- Windows 95
- Windows 98
- Windows Me
- Windows NT
- Windows 2000
- Windows XP
- Windows 2003
<u>Alias</u> :
- Worm/Mytob.ED (AntiVir)
- Win32:Mytob-CU (Avast)
- I-Worm/Mytob.FW(AVG)
- Win32.Worm.Mytob.BC (BitDefender)
- Worm.Mytob.AS (ClamAV)
- Win32.HLLM.MyDoom.44 (Dr.Web)
- W32/Mytob.EC@mm (F-Prot)
- Found Net-Worm.Win32.Mytob.bc (KAV)
- Win32/Mytob.DC(NOD32)
- WORM_MYTOB.BI (Trend Micro)
<u>Description Détaillées</u> :
<b>Mytob.BI</b> se présente sous la forme d'un <b>message en anglais</b> dont le <b>titre</b> et le <b>bcorps sont aléatoires</b> Les titres de messages :
- *DETECTED* Online User Violation
- *IMPORTANT* Please Validate Your Email Account
- *IMPORTANT* Your Account Has Been Locked
- *WARNING* Your Email Account Will Be Closed
- Account Alert
- Email Account Suspension
- Important Notification
- Notice of account limitation
- Notice: **Last Warning**
- Notice:***Your email account will be suspended***
- Security measures
- Your email account access is restricted
- Your Email Account is Suspended For Security Reasons
- [caractères aléatoires]
Le corps du message est variable :
- Once you have completed the form in the attached file , your account records will not be interrupted and will continue as normal.
- please look at attached document.
- Please read the attached document and follow it's instructions.
- Please see the attachement.
- The original message has been included as an attachment.
- To safeguard your email account from possible termination, please see the attached file.
- To unblock your email account acces, please see the attachement.
- We attached some important information regarding your account.
- We have suspended some of your email services, to resolve the problem you should read the attached document.
- We regret to inform you that your account has been suspended due to the violation of our site policy, more info is attached.
La <b>pièce jointe</b> possède une extension en <b>.BAT, .CMD, .EXE, .PIF, .SCR ou .ZIP</b> (61 Ko) et un <b>nom aléatoire</b> :
- account-details
- document
- document_full
- email-doc
- email-info
- information
- info
- info-text
- instructions
- your_details
Si ce fichier est <b>exécuté</b>, le <b>virus</b> se copie dans le <b>répertoire Windows sous le nom Lien Van de Kelderrr.exe</b>, modifie la <b>base de registres</b> pour <b>s'exécuter àchaque démarrage</b> de l'ordinateur, s'envoie aux <b>adresses figurant dans le carnet d'adresses</b> Windows et <b>divers</b> autres fichiers en évitant certains destinataires et en utilisant <b>une adresse d'expéditeur falsifiée</b>, installe une porte dérobée (backdoor) autorisant <b>la prise de contrôle àdistance</b> de l'ordinateur infecté par un <b>individu malveillant</b> ainsi qu'un <b>logiciel publicitaire indésirable</b>, modifie le <b>fichier Hosts</b> de Windows pour empêcher l'utilisateur d'accéder aux <b>sites web des principaux éditeurs d'antivirus</b>, tente de <b>désactiver</b> près de <b>600 antivirus, pare-feux</b> personnels ou utilitaires puis tente de se <b>rependre via le réseau</b> en exploitant <b>la vulnérabilité LSASS</b> de Windows pour <b>infecter automatiquement</b> les ordinateurs <b>non àjour dans leurs correctifs</b>.
(source:secuser)
Menu des Membres
Partage
Informations
Discussions
Web
Alerte Phishing 
Alerte Virus 
