Aller au contenu
sixfranc

Alerte au Virus !

Messages recommandés

Alerte au Virus W32/Naked alias "NakedWife"

 

Publié le 7/3/2001 par Panda Software - Source : www.pandasoftware.com/fr

 

 

 

W32/Naked – alias « NakedWife » - est un ver écrit en Visual Basic 6 qui utilise la messagerie électronique pour rapidement se diffuser dans le monde. Comme l’explique José María Hernández, responsable de l'expansion internationale de Panda Software : « Nous recevons actuellement plusieurs rapports d'infection, ce qui indique que le risque de diffusion du ver est toujours très élevé. C’est pourquoi », poursuit-il, « nous invitons vivement nos clients à mettre immédiatement à jour leurs solutions antivirus. »

 

 

 

Fidèle à sa politique d’assurer la protection la plus efficace qui soit contre toute menace de virus, l’entreprise offre à tous les utilisateurs qui n'ont pas Panda Antivirus installé sur leur machine de désinfecter leurs ordinateurs au moyen de Panda ActiveScan, une solution antivirus gratuite disponible sur le site Web Panda Software

 

 

 

Pour se diffuser W32/Naked utilise une tactique de plus en plus connue maintenant, à savoir un déguisement, ici sous la forme d’un fichier attaché (NakedWife.exe) dont le nom suggère l'image d'une femme nue. Le ver essaye de se faire passer pour un film Macromedia Flash. En fait, lorsque le fichier qui contient le ver est exécuté, une fenêtre qui semble charger un film Flash s’ouvre. Cette fenêtre a pour but de détourner l'attention des utilisateurs pendant que le ver effectue les actions suivantes :

 

 

 

Il s'auto-envoie à tous les utilisateurs inscrits dans le carnet d'adresses d’Outlook.

 

 

 

Ces messages auront le format suivant :

 

 

 

Objet : « FW: Naked Wife »

 

 

 

Corps du message : « My wife never look like that! icon_wink.gif Best Regards, »

 

 

 

(Mon épouse n’a jamais l’air de ça ! icon_wink.gif Cordialement,)

 

 

 

Fichier attaché : NakedWife.exe

 

 

 

2. Il supprime certains fichiers des dossiers Windows et WindowsSystem. Les fichiers affectés auront les extensions suivantes : EXE, COM, LOG, BMP, DLL et INI.

 

 

 

Pendant qu'il effectue ces actions, le ver ouvre un menu où Aide - > About Macromedia Flash Player est la seule option activée. Quand cette option est sélectionnée, le message suivant s’affiche : « You’ve now FUCKED! © 2001 by BGK (Bill Gates Killer) »

 

 

 

(Vous venez de vous FAIRE AVOIR! © 2001 par BGK).

 

 

 

W32/Naked doit ensuite s’autocopier dans le dossier temporaire de Windows pour s'auto-envoyer. Pour ce faire, le nom du fichier exécuté doit être NAKEDWIFE.EXE. Sinon le ver ne se copie pas dans le dossier temporaire. Si c’est le cas, le ver pourra néanmoins toujours envoyer des messages électroniques, mais ces derniers n'incluront pas de pièce jointe

 

 

 

Le code du virus contient un texte Unicode qui semble indiquer un chemin d’accès vers l'ordinateur où le ver a été créé, ainsi que le nom d'une compagnie d'assurance brésilienne (le nom de cette compagnie est omis pour des raisons de sécurité). Ce chemin est le suivant : C:Documents et SettingsmhsantosDesktopTempProjTempProjTemp.vbp. Ce chemin contient une chaîne qui pourrait fort bien être le dossier personnel du créateur du virus : « mhsantos ».

 

 

 

Ces deux pistes, le chemin d’accès et le nom de la compagnie d'assurance, semblent indiquer la naïveté du programmeur. Cependant, l’erreur est si évidente que cela pourrait n’être qu’une ruse pour que toute l'attention reste fixée sur d'autres personnes.

Partager ce message


Lien à poster
Partager sur d’autres sites

wavey.gif

 

Merci Sixfranc (astucieux!!) Mais la meilleur parade icon_rolleyes.gif A repete mille fois est de n'ouvrir que les fichiers dont on est sur et les virer si on n'est pas certain de leur provenance rocketwhore.gif

 

a+

 

icon_smile.gif

Partager ce message


Lien à poster
Partager sur d’autres sites

Bien plus méchant (cocke.free.fr cit.) :

 

"Selon des experts en sécurité, une nouvelle version du tristement célèbre SubSeven, un outil de piratage par système de backdoor (porte dérobée), vient juste d'apparaître, quelques jours à peine après une nouvelle version de l'application qui a permis de créer le virus Kournikova (voir édition du 13 février 2001). En fin de journée du 12 mars, en effet, des professionnels de la sécurité prévenaient du risque d'un accroissement de l'activité virale que pourrait engendrer la version 2 du Visual Basic Script Worm Generator. Et c'est maintenant la version 2.2 de SubSeven qui vient soulever des inquiétudes.

 

 

 

Menace sur les systèmes Windows

 

 

 

La firme spécialisée en sécurité, Internet Security Systems (ISS), explique que cette nouvelle version facilite grandement le travail d'un "utilisateur malveillant qui voudrait accéder à votre système informatique sans votre consentement ou même à votre insu". La société a également mis l'accent sur le fait que cet outil pourrait être utilisé comme télécommande pour lancer à distance des actions en tant qu'utilisateur local de la machine. Selon ISS, SubSeven est un programme backdoor très puissant, qui s'attaque essentiellement aux systèmes Windows. Il permet à l'attaquant de récupérer des mots de passe en cache ou sauvegardés sur le disque, de modifier la base de registres, et de télécharger ou effacer n'importe quel fichier.

 

 

 

Cette nouvelle version est également compatible avec les fonctions Socks4/Socks5 des serveurs proxy, donnant notamment la possibilité à un pirate de cacher son identité derrière une adresse IP qui n'est pas la sienne. SubSeven inclut également un "renifleur" de paquets qui lui permet d'analyser le trafic réseau pour récupérer, par exemple, les mots de passe qui y circulent. Il est également capable d'utiliser un port au hasard à chaque fois qu'il se connecte, ce qui le rend encore plus difficile à détecter.

 

 

 

Attention aux attaques incapacitantes

 

 

 

Les créateurs de SubSeven 2.2 lui ont également adjoint de nouvelles fonctions de notifications, permettant à "l'invité forcé" d'être averti par IRC, ICQ ou par e-mail, si une machine piratée est connectée au réseau. Le programme infectant est même capable d'enregistrer les séquences de touches tapées au clavier et de les envoyer par e-mail au pirate... Mais une des fonctions les plus dangereuses de SubSeven est la possibilité de l'utiliser comme un outil d'attaques incapacitantes (denial of service attacks), grâce à sa capacité d'utiliser des scripts d'interface avec des serveurs passerelles. Les pirates peuvent alors échanger les adresses IP des machines infectées pour les utiliser simultanément et coordonner une attaque vers un serveur. Autant de fonctions qui font froid dans le dos..."

 

 

 

Bon, on peut rêver... Ca dépend ce qu'on cherche sur le net et où met les pieds. J'avais trouvé un site américain avec env. 200 pages de recettes d'explosifs, armes de guerre... Ce site repérait les extensions des sites et interdisait systématiquement ceux qu'il avait enregistrés, sauf les "pays à risque nul"... C'est comme ça que j'ai ce qu'il faut pour fabriquer de la nytroglycérine, du TNT, le truc idiot qui fait cramer un PC en 10 secondes ou un appartement en deux minutes, etc... Big Brother veille sur vous, et vous colle des insomnies parce que vous le voulez bien...

Partager ce message


Lien à poster
Partager sur d’autres sites

M'en fous, j'ai désactivé WSH (Windoze Scripting host, le truc qui permet d'exécuter les .VBS), j'utilise Messenger comme messagerie, et je suis derrière une gateway, donc quiconque essaie de se connecter à mon PC tombe sur ma passerelle sous Linux !

Partager ce message


Lien à poster
Partager sur d’autres sites

Votre contenu devra être approuvé par un modérateur

Invité
Vous postez un commentaire en tant qu’invité. Si vous avez un compte, merci de vous connecter.
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.


×