Pierre (aka Terdef)

Bonjour, Pour une fois que c'est moi qui pose une question Comment être voyou avec les .chm compilés protégés par un mot de passe ? Je suis en train d'analyser une attaque fulgurante conduite par un site piégé et j'ai besoin de voir quels sont les liens contenus dans un .chm compilé Attaque de type MS03-011 (exploitation d'une faille, vulnérabilité ADODB stream, de gestion des fichiers html embarqués dans les fichiers .chm) J'avoue ne m'être penché que sur les aspects détection et éradication de craqueurs et voleurs de mots de passe mais pas sur leur utilisation. Réponse en MP de préférence. Début de l'analyse visible sur le fil "Google redirigé" "http://assiste.forum.free.fr/viewtopic.php?p=41506#41506 Cordialement

Re, En voici un qui fonctionne avec un hook (mais lui ne fait que regarder). http://www.sysinternals.com/ntw2k/source/regmon.shtml Cordialement

Bonjour à tous, Juste pour me faire l'avocat du diable : Toutes les solutions qui constatent un changement et le soumettent à l'utilisateur sont des solutions post-mortem (le mal est déjà fait). Il suffirait de demander à Patrick Kolla d'ouvrir son pseudo temps réel Tea-Timer pour que l'on puisse désigner d'autres clés à surveiller et le tour est joué. Dito dans Microsoft Antispyware et son module pseudo temps réel... D'autre part, plus le scan est rapproché, plus l'overhead est important, plus le scan est espacé, moins l'utilitaire est utile (on parle en 10ème de seconde). Ce n'est pas toutes les millisecondes que l'on va balayer 2.000 clés. Il faudrait donc travailler au niveau Kernel avec un hook. Pour voir et identifier quelles sont les clés qui "bougent", un outil un peu détourné de son usage normal est Total Uninstall lorsqu'on l'utilise en surfback (lancer TU, faire une séance de surf ou de n'importe quoi, regarder ce qui s'est passé dans le registre). http://assiste.free.fr/p/internet_utilitai...l_uninstall.php Quelques emplacements privilégiés hijackés pour inscrire quelque chose dans la startup list et donc à surveiller (il n'y a pas que des clés de la BDR) : http://assiste.free.fr/p/internet_attaques...e_demarrage.php Cordialement

Bonjour, Attention : utilisateurs n'ayant pas de liste hosts préalable et installant la liste hosts de SpyBot. Windows comporte, normalement, un hosts avec quelques lignes de commentaire et la première ligne réelle (et obligatoire) 127.0.0.1 localhost. Pour une raison ou pour une autre, vous pouvez ne plus avoir cet embryon (ou avoir détruit votre hosts précédant pour en installer un nouveau... SpyBot ne fait qu'ajouter sa liste à une liste préalablement existante, sans regarder le préalable. Si le préalable est vide, Spybot n'ajoute pas la première ligne, obligatoire, qui est 127.0.0.1 localhost Regardez votre hosts, dans c:\Windows\ (le fichier c:\windows\hosts), avec Notepad (le bloc-notes de Windows) et, éventuellement, ajouter cette ligne avant l’insertion de Spybot 127.0.0.1 localhost # Start of entries inserted by Spybot - Search & Destroy 127.0.0.1 coolwwwsearch.com 127.0.0.1 coolwebsearch.com 127.0.0.1 hi.studioaperto.net … Nota : Notepad s'évertuant à sauvegarder les fichiers en .txt, commencez par renommer l'ancien hosts en hosts.txt puis éditez hosts.txt et sauvegardez-le et, enfin, renommez-le en hosts (sans suffixe). Cordialement

Bonsoir IPL, bonsoir à tous. Arrrggghh ! Bien vu IPL. Pas de "S" za la fin. IPL, j'ai trouvé ton idée des petits points servant de liens rapides, sur ta page HJT, excellente et je te la pique (si si). Hosts avec et sans WWW... Copiez tout le fichier hosts dans une feuille Excel, colonne A Nous supposons que les lignes de hosts sont à la suite les unes des autres, sans séparateurs par "groupe" (genre Groupe Akamaï, groupe Xiti...) sinon, il faudrait utiliser une astuce (réserver une colonne, "A" par exemple, pour une numérotation initiale des lignes qui servirait à reconstruire le tri). Si vous avez quelque chose en colonne B c'est que le séparateur entre 127.0.0.1 et le nom de domaine est une tabulation au lieu d'un espace. Nous verrons cela tout à l'heure. Edition > Remplacer > www. par rien > Remplacer tout Edition > Remplacer > "127.0.0.1 " (y compris l'espace après le 127.0.0.1) par rien > Remplacer tout Edition > Remplacer > "127.0.0.1" par rien > Remplacer tout Nota : les 2 lignes précédentes pourraient être traitées autrement : la méthode retenue permet de préserver les espaces dans les lignes de commentaires. Sélectionnez tout > Données > Trier > Colonne A Croissant Sélectionnez tout ce qui est en colonne B (s'il y en a) et déplacez-le en colonne A (mêmes lignes) Dédoublonnage : Sélectionnez tout > Données > Trier > Colonne A Croissant Dans la colonne B, recopier ceci en B2 =SI(A2=A1;"********";"") puis recopiez B2 sur le reste utile de la colonne B Sélectionner toute la colonne B Edition > Copier > Edition > Collage spécial > Valeur Sélectionnez tout le tableau > Données > Trier > Colonne B Décroissant Sélectionnez toutes les lignes contenant "********" en colonne B Supprimer toutes ces lignes Sélectionner colonne B Supprimer la colonne B (ou effacez tout son contenu) Fin du dédoublonnage. Dans la colonne B, recopier ceci en B1 =MINUSCULE(A1) puis recopiez B1 sur le reste utile de la colonne B Ah ! Les commentaires aussi vont être mis en minuscules. Bah ! Tant pis Dans la colonne C, recopier ceci en C1 ="127.0.0.1 "&B1 puis recopiez C1 sur le reste utile de la colonne C Dans la colonne D, recopier ceci en D1 ="127.0.0.1 www."&B1 puis recopiez D1 sur le reste utile de la colonne D Voila : mettez bout à bout les colonnes C et D et vous avez un hosts "double" avec tous les www grouppés. Evitez de recopier 2 fois la 1ère ligne obligatoire de hosts (127.0.0.1 localhost). Une autre méthode permet d'obtenir un interclassement de chaque domaine (chaque fois, les 2 lignes se suivent, Sans et avec le WWW). Si cela vous intéresse, je vous la donnerais. Amitiés

Bonsoir à tous, Le DNS local de Windows prend les noms de domaines inscrits dans hosts au pied de la lettre. C'est une lacune. Pour être sûr de bloquer un domaine, celui-ci doit donc figurer 2 fois dans hosts, avec et sans WWW. Laisser Generic Host Process accéder ou non au Net ? Le problème a été débattu et continu de l’être. Il a semblé, initialement, que la nécessité de laisser Generic Host Process accéder au Net ne fut requise que pour les connexions obligées de désigner des DNS (primaire et secondaire) dans leurs paramètres. Les FAI, comme Wanadoo, ayant des DNS dynamiques, ne requièrent pas du tout de désignation de DNS dans leurs paramètres de connexion et « Generic Host Process » semble pouvoir être interdit d'accès au Net sans pénaliser la navigation. Ces tests avaient été conduit avec des listes hosts sans erreur de syntaxe et dont toutes les lignes redirigeaient vers localhost. Il semble toutefois que, dans certains cas de figure et depuis le SP2, il faille tout de même permettre à Generic Host Process d’accéder au Net. Je viens de faire un essai avec un disque doté d’un ZAP 4.5.532.000 et « Generic Host Process » bloqué dans ZAP ainsi que le service « Client DNS » désactivé, le tout sous un XP Pro SP2 avec une hosts list et une connexion Wanadoo ADSL. Aucun soucis de navigation. Il n’y a donc pas de règle générique qui s’appliquerait à tous. Quelques ressources sont données sur ces fils Generic Host Process Generic Host Process for Win32 Services Client DNS le programme s'appelle svchost.exe et est situé dans c:\windows\system32 D’abord, ce fil ZoneAlarm - exemple de blocage - capture d'écran http://assiste.forum.free.fr/viewtopic.php...ic+host+process Paramétrage Outpost pro pour svchost.exe http://assiste.forum.free.fr/viewtopic.php...ic+host+process Hosts http://assiste.free.fr/p/internet_contre_mesures/hosts.php Cordialement

Bonjour Attention : tentative de fishing des mots de passe des comptes free.fr La tentative se présente sous la forme d'un e-mail prétendant qu'à la suite d'incidents sur les serveurs "pages perso" (les serveurs hébergeant les sites personnels des abonnés) de Free, il convient de ressaisir son identifiant et son mot de passe. N'en faites rien. C'est complètement faux ! C'est une forme de spam utilisant une technique appelée "ingénierie sociale" pour vous inciter à donner de vous-mêmes des informations personnelles. Nous appelons cela du "Phishing". Plus d'informations sur http://assiste.free.fr/p/internet_attaques/phishing.php Si vous l'avez fait, changez immédiatement votre mot de passe en allant sur le site de Free ( http://free.fr ). Merci également de me dire si vous avez reçu cet e-mail afin de déterminer s'il s'agit d'une attaque générale ou d'une attaque spécifique contre certains sites. La référence faites à "pages perso" fait plutôt penser à une attaque dirigée vers les comptes des webmasters hébergés chez Free et non pas tous les comptes. Répondre sur http://assiste.forum.free.fr/viewtopic.php?t=6529 Cordialement

Bonjour, Mise à jour de la version française de la PacMan Startup List Disponible en téléchargement et en consultation en ligne 7134 éléments soit, par rapport à la version précédente, 422 ajouts, 105 modifications et 6 suppressions. http://assiste.free.fr/p/pacman/liste_pacman_frameset.php Cordialement

Bonjour, Mise en ligne de la nouvelle version de la PacMan, déjà disponible en téléchargement depuis hier. Version du 12 Décembre 2004 (fichier d'origine daté du 10/12/2004) 6.645 éléments (contre 6527 soit 118 nouveaux objets). http://assiste.free.fr/p/pacman/liste_pacman_frameset.php http://assiste.free.fr/p/pacman/liste_pacman_frameset.php Merci à NickW pour toutes ces traductions. Cordialement

Bonjour http://assiste.free.fr/p/pacman/liste_pacman_frameset.php Pacman Startup Liste en français Mise à jour française du 05.12.2004 sur la base de la version anglaise du 01.12.2004. Modifications par rapport à la précédente version : Comporte désormais un total de 6527 objets décrits (166 nouveaux objets). Disponible en consultation en ligne et en téléchargement sous forme d'un fichier .chm (liste alphabétique). Merci à NickW pour toutes ces traductions. Cordialement

Bonjour http://assiste.free.fr/p/pacman/liste_pacman_frameset.php Mise à jour du 30.11.2004 (il y a une nouvelle mise à jour de la version anglaise, du 1.12.2004, pas encore traduite). Modifications par rapport à la précédente version : Comporte désormais un total de 6361 objets décrits. Comporte 86 nouveaux objets décrits. Disponible en consultation en ligne et en téléchargement sous forme d'un fichier .chm (liste alphabétique). Merci à NickW pour toutes ces traductions. Cordialement

Bonjour, Ajout, sur chaque page de la PacMan, de l'accès direct aux autres ressources de même nature sur le Web (toutes les "Startup List" et autres listes de processus). Vérification et mise à jour de tous ces liens (plusieurs avaient changé). Ces autres ressources comprennent : Accès à la liste de processus de Answers That Work (ATW) Recherches dans la base de données Microsoft des informations relatives aux fichiers DLL inclus dans les produits Microsoft Recherches dans la base de connaissances de Microsoft ( KB - KnowledgeBase ) en français ou en anglais Recherches dans la base de connaissance de fichiers de PestPatrol - Chiffres clé de plus de 500.000 fichiers Recherches dans la liste des processus de l'éditeur Liutilities Recherches dans la ProcessLibrary basée sur la liste de Liutilities non bridée Plusieurs autres ressources moins significatives http://assiste.free.fr/p/pacman/liste_pacman_frameset.php Plan d'accès routier pour la conférence de samedi http://assiste.free.fr/p/conference/conference_plan.php Accès en transport en commun http://assiste.free.fr/p/conference/conference_train_bus.php Conférence "Les risques sur Internet, la protection des données, de la vie privée et du poste de travail" Mjc de La Celle Saint Cloud 70 bis, avenue des Étangs 78170 la Celle St Cloud Gratuit pour les membres de la MJC (5 € pour les autres) Cordialement

Bonjour, Une occasion de nous rencontrer : Conférence Insécurité et protection de la vie privée sur Internet Date et lieu Samedi 27 novembre de 10h à 12h30 MJC de La Celle Saint Cloud 70 bis, avenue des Étangs 78170 la Celle St Cloud Gratuit pour les membres de la MJC (exceptionnellement ouverte à tout le monde non membre pour 5 €) Conférencier Pierre Pinard, Webmaster de Assiste.com Site francophone sur la sécurité et la protection de la vie privée. http://assiste.free.fr Au programme Les attaques dont nous sommes victimes, et leurs contre-mesures, seront abordées : Virus, Chevaux de Troie (Trojans), Espions (Spywares), Pirates, Usurpations (phishing, page de démarrage...), Matraquage publicitaire, Spam (Courriers non sollicités), Contrôle parental et protection de nos enfants, Mises à jour de sécurité (Patchs et HotFix) Contacts – Informations - Inscriptions Conférencier : mjclcsc.1.terdef@spamgourmet.com Plan d'accès et itinéraires Plan d'accès et itinéraire routier http://assiste.free.fr/p/conference/conference_plan.php Itinéraire en transports en communs http://assiste.free.fr/p/conference/conference_train_bus.php Vous pouvez reproduire ce communiqué partout (sur vos sites, vos forums, les forums que vous fréquentez, les agences de presse que vous connaissez, vos entreprises etc. ...) Et vous pouvez venir, bien sûr. Avec mes remerciements Pierre Pour ceux qui fréquentent des forums utilisant ou acceptant le code BBCode, recopier ceci : [color=darkblue][size=18][b]Conférence Insécurité et protection de la vie privée sur Internet[/b][/size] [b]Date et lieu[/b] Samedi 27 novembre de 10h à 12h30 MJC de La Celle Saint Cloud 70 bis, avenue des Étangs 78170 la Celle St Cloud Gratuit pour les membres de la MJC (exceptionnellement ouverte à tout le monde non membre pour 5 €) [b]Conférencier[/b] Pierre Pinard, Webmaster de Assiste.com Site francophone sur la sécurité et la protection de la vie privée. http://assiste.free.fr [b]Au programme[/b] Les attaques dont nous sommes victimes, et leurs contre-mesures, seront abordées : Virus, Chevaux de Troie (Trojans), Espions (Spywares), Pirates, Usurpations (phishing, page de démarrage...), Matraquage publicitaire, Spam (Courriers non sollicités), Contrôle parental et protection de nos enfants, Mises à jour de sécurité (Patchs et HotFix) [b]Contacts – Informations - Inscriptions[/b] Conférencier : mjclcsc.1.terdef@spamgourmet.com [b]Plan d'accès et itinéraires[/b] Plan d'accès et itinéraire routier http://assiste.free.fr/p/conference/conference_plan.php Itinéraire en transports en communs http://assiste.free.fr/p/conference/conference_train_bus.php [/color]

Bonjour http://assiste.free.fr/p/pacman/liste_pacman_frameset.php Mise à jour du 20.11.2004. Modifications par rapport à la précédente version : Comporte désormais un total de 6275 objets décrits. Comporte 121 nouveaux objets décrits. Disponible en consultation en ligne et en téléchargement sous forme d'un fichier .chm (liste alphabétique). Cordialement

Bonjour, Encore une mise à jour, à quelques jours d'intervale ! Il ne chôme pas, Paul Collin ! Mirroir officiel de la traduction française http://assiste.free.fr/p/pacman/liste_pacman_frameset.php Mise à jour du 11.11.2004 Modifications par rapport à la version du 7.11.2004 uploadée hier ! Comporte désormais un total de 6153 objets décrits. Comporte 282 nouveaux objets décrits ainsi que la mise à jour de 73 autres objets et 5 supressions. Disponible en consultation en ligne (avec moteur de recherche) et en téléchargement sous forme d'un fichier .chm (liste alphabétique). J'en ai profité pour améliorer un peu l'entête des pages (plus courtes - plus tassées) de maière à avoir le moteur de recherche bien visible. Cordialement

Bonjour Mise à jour importante de la PacMan Startup List (la liste d'explications et de conseils sur les objets lancés au démarrage de Windows). Mirroir officiel de la traduction française http://assiste.free.fr/p/pacman/liste_pacman_frameset.php Mise à jour du 07.11.2004 Modifications par rapport à la version de septembre : Comporte désormais un total de 5878 objets décrits. Comporte 740 nouveaux objets décrits ainsi que la mise à jour de 40 autres objets. Disponible en consultation en ligne (avec moteur de recherche) et en téléchargement sous forme d'un fichier .chm (liste alphabétique). # La PacMan est classée par noms de parasites et non pas par noms d'objets (les .exe ou .dll que l'on peut trouver en analysant une liste de démarrage, un log HiJackThis etc. ... et que l'on recherche) ce qui rend son usage difficile sans moteur de recherches. La version on-line de la PacMan en français bénéficie du moteur de recherches internes du site Assiste.com. Ce moteur est mis à jour toutes les nuits automatiquement et il peut, en sus, vous faire trouver d'autres pages du site traitant du même objet (comme les fiches "Parasite"). # L'usage de Mozilla comme navigateur vous permet de frapper au clavier les lettres d'un mot et Mozilla vous y conduit directement sans rien avoir à faire. Ctrl/G vous conduit à l'occurrence suivante etc. ... et s'en souvient d'une page à une autre. Cordialement

Bonjour, Je n'ai pas cherché mais ce ne serait pas une histoire de cookie ou de liste hosts ?

Bonjour, Aucun problème de connexion sous XP Pro+Mozilla+proxy local filtrant sévèrement. C'est une photo à 30 millions de US$ !!! Y'en a qui se plantent le drapeau dans l'oeil !

Bonjour Oui, les points de restauration peuvent poser des problèmes : lorsqu'un parasite (virus, hijack, trojans, dialer, keylogger, adware etc...) s'implante, il y a de fortes chances, selon sa méthode d'implantation, qu'il soit considéré comme légitime et que le mécanisme de points de restauration en prenne bonne note. Lorsque votre outil antivirus ou anti-trojans va détecter le parasite, il va le supprimer. Il va même peut-être, en détecter la copie dans les fichiers des points de restauration et vous dire qu'il ne peut pas la détruire. Or, la méthode d'accès aux fichiers des points de restauration est interdite à absolument tout, par mesure de sécurité, y compris aux antivirus et aux anti-trojans. Donc, au prochain redémarage, Windows va voir qu'un composant manque, le parasite détruit, et va le restaurer à partir des fichiers des points de restauration. Tuto sur les points de restauration, les comprendre et les gérer, sous Windows XP Pro, Windows XP Home et Windows Me (avec un mot sur Windows NT et Windows 2000). http://assiste.free.fr/p/comment/activer_d...estauration.php

Bonjour Chester Ceci n'a absolument rien à voir avec SpyBot, Ad-aware et tout ce que tu veux. Il s'agit d'une page Web que tu visite et qui tente d'implanter un programme (un contrôle ActiveX doit être considéré comme un programme). Heureusement que tes réglages font que tu en es averti. J'espère que tu répond "non" chaque fois car il est probable que le contrôle ActiveX en question est un parasite (un adware ou un spyware ou un dialer ou un BHO pour implanter une barre d'outil ou un hijack etc. ...). Aucun site ne doit tenter d'installer un contrôle ActiveX. Cette technologie doit être bloquée (dans Internet Explorer). Seuls Windows Update et quelques sites d'antivirus en ligne doivent y être autorisés (encore que Trend vient de supprimer l'usage de ActiveX pour passer à Java ce qui le rend désormais compatible avec Mozilla/Netscape). Pour comprendre ce qu'est ActiveX http://assiste.free.fr/p/internet_attaques/activex.php Pour t'en prémunir http://assiste.free.fr/p/internet_contre_m...nti_activex.php Pour les sites qui persistent à utiliser ActiveX, tant pis pour eux ! Il y a suffisamment de ressources sur le Net pour nous permettre d'aller voir ailleurs. Peut-tu me passer l'URL de cette page s'il te plait que je regarde ce qu'elle à dans le ventre et que j'essaie de remonter au contrôle ActiveX pour voir s'il est connu. Cordialement

Bonjour à tous, J'ai retiré l'anathème jeté sur le Remouveur, compte tenu des modifications apportées, dans la liste des faux utilitaires de sécurité. http://assiste.free.fr/faux_utilitaires.html Le sujet http://terroirs.denfrance.free.fr/forum_cu...opic.php?t=2637 est rouvert afin de permettre à Ravana de communiquer sur l'évolution de son utilitaire si particulier. Cordialement

Re bonjour IPL A propos de AppInit_DLLs Cette clé comporte une ou une suite de dll qui sont chargées avec chaque application Windows en cours d'exécution durant la session actuelle. Les dll sont délimitées par une "," ou un espace. Seuls les 32 premiers caractères sont utilisés donc les dll doivent être dans le répertoire system32 afin de ne pas avoir à spécifier un chemin d'accès. Plusieurs dll peuvent se trouver sur cette ligne, comme apitrap.dll qui vient avec Norton CleanSweep (et avec les bundle contenant Norton CleanSweep comme Norton SystemWorks). Il est préférable de demander à l'utilisateur : - soit de poster la liste des dll dans un forum en accompagnement d'un log HJT - soit de rechercher sur Google (par exemple) si chacune de ses dll est connue ou non et d'effacer uniquement les dll inconnues ou identifiées comme malveillantes. Qu'en pense-tu ?

Bonjour IPL et bonjour à tous A propos de CWS.Realyellowpage, j'avais fait un truc en français dans La Manip lors de sa révision 11 21.05.04 - rev 11 CWS.Realyellowpage Je ne sais pas si tu l'a vu avant ou après (ou pas du tout) ce fil de discussion. Mise en oeuvre de Process Viewer et de KillBox. Il y a des captures d'écrans donc il vaut mieux aller voir C'est à l'étape 4 http://assiste.com/manip.html Tu voulais m'envoyer quelques suggestions et corrections. J'ai loupé un e-mail ? J'en balance plus de 2.000 par jour et quelque fois je vais très vite dans mon massacre à la tronçonneuse. Je vais regarder ta méthode qui semble être une alternative plus simple (sauf erreur de ma part). Vous avez lu le dernier message de Merijn ? Il laisse tomber à partir d'aujourd'hui, et pour plusieurs mois, pour se consacrer à ses études. Il faut s'attendre à de petites corrections de bugs s'il a le temps mais plus à de nouveaux développements. Le gang maffieux CWS doit pousser un ouf de soulagement et va pouvoir récupérer ses milliers de machines qui ne servent qu'à lancer des DDoS sur plein de sites comme celui de Merijn. As-tu noté le panthéon d'Assiste.com ? Il y a Saint Patrick et Saint Merijn. Je les ai béatifiés. Il faudrait les prévenir Cela peut servir sur les CV de ces 2 étudiants à qui nous devons tant. Cordialement

Bonjour tiboben Non, ce n'est pas un virus. C'est une tentative d'intimidation accompagnée d'un hijack. Ils sont de plus en plus nombreux à faire ça et il s'agit de véritables gangs du Net avec leurs propres registrar, leurs propres dns etc. ... De véritables groupes maffieux. Il y a une analyse de l'une de ces tentatives d'intimidation, pour l'exemple, sur cette page. Que cela serve de leçon. N'ayez pas peur, pas peur de ça en tout cas - il y a bien assez de trucs pas net sur le Net. http://assiste.free.fr/p/internet_utilitai...ardian_0003.php Pour ton hijack, à défaut de plus amples informations, exécute pas à pas La Manip (qui comprend du SpyBot et du CWShredder) et termine par un log HiJackThis que tu poste ici - comme le dit Tesgaz : fait le log HiJackThis à la toute fin de La Manip, après SpyBot et CWShredder. La Manip est un truc curatif ET PREVENTIF car je ne crois pas que donner une solution à un symptôme sans soigner les causes, en amont, soit d'une grande efficacité. http://assiste.com/manip.html

Bonjour IPL Merci - je vais rougir. Ananas, Cela s'appelle des "bounce" - moi j'appelle ça "Return to Spam". C'est astucieux. Les spammeurs font la promotion de trucs imbéciles mais il faut bien se garder de les prendre pour des imbéciles. C'est expliqué ici. http://assiste.free.fr/p/internet_attaques...urn_to_spam.php On notera aussi la convergence entre promotion de virus par micro-serveurs smtp et promotion de spam avec les même micro-serveurs smtp déposés par des virus agissant en cheval de Troie. Egalement le dépôt (par un dropper embarqué dans le cheval de Troie (le virus)) d'un backdoor qui permet le ré-emploi des micro-serveurs smtp (des pc de particuliers zombiifiés – les 2 – le particulier et son pc) pour de nouvelles campagnes de spam. On notera aussi que ces virus ne sont absolument pas destructeurs. Ils ont besoin de machines parfaitement saines pour s'en servir en tant que serveurs smtp. Ils vont même jusqu'à se donner des airs de chevaliers blancs en détruisant les serveurs smtp et les backdoors de leurs concurrents (mais pour installer les leurs à la place - preuve que ça rapporte beaucoup d'argent, le spam).