RECHERCHE
Un ver connu sous le nom de: Win32.VB.bi (Kaspersky), Win32.P2P.ABM (BitDefender), Grew.A (Trend), Win32/Blackmal.F (CA), W32.Blackmal.E@mm (Symantec), W32/Nyxem-D (Sophos), W32/Tearec.A (Panda) se propage actuellement à grande vitesse. Le risque est élévé et les dégâts occassionnés important.
Le ver se propage par email (et/ou sur votre réseau) avec un fichier joint, pouvant être un PIF, SCR ou ZIP.
Il désactive les applications sécurité, supprime des données, et recherche des adresse email sur votre poste pour se diffuser.
De plus ce virus se connecte à internet pour sa mise à jour.
Le texte de l'email est court et percutant:
----- forwarded message -----
???????????????????????????? ????????????? ?????? ???????????
>> forwarded message
DSC-00465.jpg DSC-00466.jpg DSC-00467.jpg
forwarded message attached.
Fuckin Kama Sutra pics
hello, i send the file. bye
hi i send the details bye
Hot XXX Yahoo Groups
how are you? i send the details. OK ?
i attached the details. Thank you
i just any one see my photos. It's Free :)
Note: forwarded message attached.
photo photo2 photo3
Please see the file.
ready to be FUCKED :)
VIDEOS! FREE! (US$ 0,00)
What?
Le fichier joint:
-*hot movie*
- A Great Video
- arab sex dsc-00465.jpg
- ebook.pdf
- fuckin kama sutra pics
- fw: dsc-00465.jpg
- Fw: Funny :)
- Fw: Picturs
- Fw: Real show
- Fw: SeX.mpg
- Fw: Sexy
- Fwd: Crazy illegal Sex!
- Fwd: image.jpg
- Fwd: Photo
- give me a kiss
- Miss Lebanon 2006
- My photos
- Part 1 of 6 Video clipe
- School girl fantasies gone bad
- the best videoclip ever
- the file
- word file
Découverte d'un nouveau trojan nommé "spymaster.A". Ce trojan combine les effets d'un spyware et d'un keylogger.
Pour empêcher sa détection, il se dissimule en ce faisant passer pour le processus de MSN Messenger.
Pour se propager il utilise les emails, mais aussi les réseaux P2P et la messagerie instantané.
Le trojan ce copie dans un fichier appelé "syscont.exe". Il crée aussi plusieurs entrée dans la base de registre et un fichier texte appelé "syslogy.cc".
C'est ce dossier qui sera envoyer au pirate, avec toutes les données récolter par le keylogger (mot de passe, login, numéro de compte bancaire, site web consulté, ...).
Panda antivirus propose un scanne en ligne: http://www.activescan.com
Il est presque certain que d'autres versions apparaîtront, et qu'ils seront de plus en plus sophistiqués et difficiles à détecter. La manière dont Spymaster.A se cache derrière le processus est un bon exemple de ce que sera le futur.
Actuellement un nouveau ver du nom de "Dasher" se propage sur le net.
Le ver ou worm utilise une faille de sécurité (Microsoft Distributed Transaction Coordinator (MSDTC)), pourtant patcher depuis le mois de novembre par Microsoft.
Les systèmes concerné sont windows 2000, XP SP1 et 2003 serveur.
Dasher utilise le port TCP 1025 et se connecte à un PC dont l'adresse IP est 222/240/219/143 (china network).
Pour vous protéger, mettez votre système à jour, surveiller le port 1025 et bloquer l'adresse IP dans votre firewall.
Là vous êtes tranquille!
Google Adsense est une nouvelle fois victime d'une menace
Google AdSense propose des publicités, sur le côté droit de ses pages. Des annonces baptisées AdSense.
Un code malicieux est en train de perturber cet outil. Le principe est simple pour les adeptes du détournement publicitaire.
Le cheval de troie modifie les liens présentés dans les pages Web par le service de Google pour renvoyer vers d'autres liens, généralement la pornographie, le viagra, les rencontres coquines...
Cette infection se fait via une piéce jointe diffusée par courrier électronique ou via des sites web particuliers, genre warez, adultes, ... ou spécialement conçu pour.
La Barre d'outil Google est devenu aussi populaire que le navigateur Internet Exploreur et avec elle les menaces et failles de sécurité se succèdent.
Pour plus de sécurité, changer de barre d'outils. Dans cette article vous trouverez certainement celle qui vous correspond.
Sober passera à l'attaque prochainement
Plus que quelques jours pour se protéger. Le 6 janvier 2006 à 00h00, tous les ordinateurs infectés par le virus Sober commenceront un processus de mise à jour. Le ver aurait été programmé pour envoyer d'autres virus sober sur le net.
Sober se connecte à une série de liens URL, d'où il télécharge certains fichiers. Cette liste change tous les 14 jours et elle inclut 15 liens URL. Le ver devrait vérifier pas moins de 25 listes différentes, correspondantes a 375 liens qui appartient aux domaines suivantes :
people.freenet.de, scifi.pages.at, home.pages.at, free.pages.at, home.arcor.de
Actuellement, les liens URL n'existent pas, mais l'auteur du virus pourrait les créer juste quelques minutes avant que le contenu soit téléchargé et avant quela mise à jour soit déclenchée sur les systèmes infectés avec Sober.
L'alerte a été classé niveau 1 (niveau le plus élévé) par les experts d'antivirus.
Pour rappel W32.Sober est un ver d’envoi en masse de courrier électronique qui utilise son propre moteur SMTP pour se propager. Il s'envoie comme pièce jointe de courrier électronique aux adresses recueillies à partir de l'ordinateur compromis. Le courrier électronique peut être en anglais ou en allemand.
Pour vérifier si vous êtes infecté, télécharger FixSbr.exe. Cette outil permet la vérification et la suppression des variantes sober suivantes:
W32.Sober@mm, W32.Sober.B@mm, W32.Sober.C@mm, W32.Sober.D@mm, W32.Sober@mm.enc, W32.Sober.gen, W32.Sober.E@mm, W32.Sober.F@mm, W32.Sober.G@mm, W32.Sober.I@mm, W32.Sober.L@mm, W32.Sober.N@mm, W32.Sober.O@mm, W32.Sober.Q@mm, W32.Sober.V@mm, W32.Sober.W@mm, W32.Sober.X@mm.
Instruction pour utiliser l'outil FixSbr.
Un autres outil de détection et suppression:
Stinger par McAfee
