Aller au contenu


Photo
- - - - -

Alerte au Virus !


  • Veuillez vous connecter pour répondre
5 réponses à ce sujet

#1 sixfranc

sixfranc

    Extrem Member

  • Membres
  • 508 messages

Posté 17 mars 2001 - 05:05

Alerte au Virus W32/Naked alias "NakedWife"

Publié le 7/3/2001 par Panda Software - Source : www.pandasoftware.com/fr



W32/Naked – alias « NakedWife » - est un ver écrit en Visual Basic 6 qui utilise la messagerie électronique pour rapidement se diffuser dans le monde. Comme l’explique José María Hernández, responsable de l'expansion internationale de Panda Software : « Nous recevons actuellement plusieurs rapports d'infection, ce qui indique que le risque de diffusion du ver est toujours très élevé. C’est pourquoi », poursuit-il, « nous invitons vivement nos clients à mettre immédiatement à jour leurs solutions antivirus. »



Fidèle à sa politique d’assurer la protection la plus efficace qui soit contre toute menace de virus, l’entreprise offre à tous les utilisateurs qui n'ont pas Panda Antivirus installé sur leur machine de désinfecter leurs ordinateurs au moyen de Panda ActiveScan, une solution antivirus gratuite disponible sur le site Web Panda Software



Pour se diffuser W32/Naked utilise une tactique de plus en plus connue maintenant, à savoir un déguisement, ici sous la forme d’un fichier attaché (NakedWife.exe) dont le nom suggère l'image d'une femme nue. Le ver essaye de se faire passer pour un film Macromedia Flash. En fait, lorsque le fichier qui contient le ver est exécuté, une fenêtre qui semble charger un film Flash s’ouvre. Cette fenêtre a pour but de détourner l'attention des utilisateurs pendant que le ver effectue les actions suivantes :



Il s'auto-envoie à tous les utilisateurs inscrits dans le carnet d'adresses d’Outlook.



Ces messages auront le format suivant :



Objet : « FW: Naked Wife »



Corps du message : « My wife never look like that! Best Regards, »



(Mon épouse n’a jamais l’air de ça ! Cordialement,)



Fichier attaché : NakedWife.exe



2. Il supprime certains fichiers des dossiers Windows et WindowsSystem. Les fichiers affectés auront les extensions suivantes : EXE, COM, LOG, BMP, DLL et INI.



Pendant qu'il effectue ces actions, le ver ouvre un menu où Aide - > About Macromedia Flash Player est la seule option activée. Quand cette option est sélectionnée, le message suivant s’affiche : « You’ve now FUCKED! © 2001 by BGK (Bill Gates Killer) »



(Vous venez de vous FAIRE AVOIR! © 2001 par BGK).



W32/Naked doit ensuite s’autocopier dans le dossier temporaire de Windows pour s'auto-envoyer. Pour ce faire, le nom du fichier exécuté doit être NAKEDWIFE.EXE. Sinon le ver ne se copie pas dans le dossier temporaire. Si c’est le cas, le ver pourra néanmoins toujours envoyer des messages électroniques, mais ces derniers n'incluront pas de pièce jointe



Le code du virus contient un texte Unicode qui semble indiquer un chemin d’accès vers l'ordinateur où le ver a été créé, ainsi que le nom d'une compagnie d'assurance brésilienne (le nom de cette compagnie est omis pour des raisons de sécurité). Ce chemin est le suivant : C:Documents et SettingsmhsantosDesktopTempProjTempProjTemp.vbp. Ce chemin contient une chaîne qui pourrait fort bien être le dossier personnel du créateur du virus : « mhsantos ».



Ces deux pistes, le chemin d’accès et le nom de la compagnie d'assurance, semblent indiquer la naïveté du programmeur. Cependant, l’erreur est si évidente que cela pourrait n’être qu’une ruse pour que toute l'attention reste fixée sur d'autres personnes.
  • 0

PUBLICITÉ

    Annonces Google

#2 jeanbi

jeanbi

    Godlike Member

  • Membres
  • 3 382 messages

Posté 17 mars 2001 - 06:36



Merci Sixfranc (astucieux!!) Mais la meilleur parade A repete mille fois est de n'ouvrir que les fichiers dont on est sur et les virer si on n'est pas certain de leur provenance

a+


  • 0

#3 tomate

tomate

    Member

  • Membres
  • 60 messages

Posté 17 mars 2001 - 07:02

Bien plus méchant (cocke.free.fr cit.) :

"Selon des experts en sécurité, une nouvelle version du tristement célèbre SubSeven, un outil de piratage par système de backdoor (porte dérobée), vient juste d'apparaître, quelques jours à peine après une nouvelle version de l'application qui a permis de créer le virus Kournikova (voir édition du 13 février 2001). En fin de journée du 12 mars, en effet, des professionnels de la sécurité prévenaient du risque d'un accroissement de l'activité virale que pourrait engendrer la version 2 du Visual Basic Script Worm Generator. Et c'est maintenant la version 2.2 de SubSeven qui vient soulever des inquiétudes.



Menace sur les systèmes Windows



La firme spécialisée en sécurité, Internet Security Systems (ISS), explique que cette nouvelle version facilite grandement le travail d'un "utilisateur malveillant qui voudrait accéder à votre système informatique sans votre consentement ou même à votre insu". La société a également mis l'accent sur le fait que cet outil pourrait être utilisé comme télécommande pour lancer à distance des actions en tant qu'utilisateur local de la machine. Selon ISS, SubSeven est un programme backdoor très puissant, qui s'attaque essentiellement aux systèmes Windows. Il permet à l'attaquant de récupérer des mots de passe en cache ou sauvegardés sur le disque, de modifier la base de registres, et de télécharger ou effacer n'importe quel fichier.



Cette nouvelle version est également compatible avec les fonctions Socks4/Socks5 des serveurs proxy, donnant notamment la possibilité à un pirate de cacher son identité derrière une adresse IP qui n'est pas la sienne. SubSeven inclut également un "renifleur" de paquets qui lui permet d'analyser le trafic réseau pour récupérer, par exemple, les mots de passe qui y circulent. Il est également capable d'utiliser un port au hasard à chaque fois qu'il se connecte, ce qui le rend encore plus difficile à détecter.



Attention aux attaques incapacitantes



Les créateurs de SubSeven 2.2 lui ont également adjoint de nouvelles fonctions de notifications, permettant à "l'invité forcé" d'être averti par IRC, ICQ ou par e-mail, si une machine piratée est connectée au réseau. Le programme infectant est même capable d'enregistrer les séquences de touches tapées au clavier et de les envoyer par e-mail au pirate... Mais une des fonctions les plus dangereuses de SubSeven est la possibilité de l'utiliser comme un outil d'attaques incapacitantes (denial of service attacks), grâce à sa capacité d'utiliser des scripts d'interface avec des serveurs passerelles. Les pirates peuvent alors échanger les adresses IP des machines infectées pour les utiliser simultanément et coordonner une attaque vers un serveur. Autant de fonctions qui font froid dans le dos..."



Bon, on peut rêver... Ca dépend ce qu'on cherche sur le net et où met les pieds. J'avais trouvé un site américain avec env. 200 pages de recettes d'explosifs, armes de guerre... Ce site repérait les extensions des sites et interdisait systématiquement ceux qu'il avait enregistrés, sauf les "pays à risque nul"... C'est comme ça que j'ai ce qu'il faut pour fabriquer de la nytroglycérine, du TNT, le truc idiot qui fait cramer un PC en 10 secondes ou un appartement en deux minutes, etc... Big Brother veille sur vous, et vous colle des insomnies parce que vous le voulez bien...
  • 0

#4 yvesman

yvesman

    Mega Power Member

  • Membres
  • 289 messages

Posté 27 mars 2001 - 10:40

blanche neige et les sept nains

vous connaissez?

je l'ais reçu 6 fois en trois jours

virus garanti et internationnal

tit config de outlook et c fini!
  • 0

#5 KewlCat

KewlCat

    Modérateur

  • Membres
  • 24 812 messages

Posté 27 mars 2001 - 11:11

M'en fous, j'ai désactivé WSH (Windoze Scripting host, le truc qui permet d'exécuter les .VBS), j'utilise Messenger comme messagerie, et je suis derrière une gateway, donc quiconque essaie de se connecter à mon PC tombe sur ma passerelle sous Linux !
  • 0

#6 KewlCat

KewlCat

    Modérateur

  • Membres
  • 24 812 messages

Posté 27 mars 2001 - 11:17

Un site à ne surtout pas oublier, toujours à propos des annonces de virus :



http://hoaxbusters.c...ustersHome.html

et en général http://www.ciac.org

(et que cela ne vous serve pas à construire de nouveaux hoaxes !!)
  • 0









Sujets similaires :     x