Un cheval de Troie transmis par mail se répand dans le monde
Nom de Zeus Marty, nous ne sommes pas dans le futur, mais en 1999 !
Un trojan se répand depuis hier sur la toile, infectant déjà des milliers d'ordinateurs dans le monde. Baptisé "Here You Have", le ver se répand sous plusieurs versions par mail en envoyant des messages à tout le carnet d'adresses des personnes infectées. Un tel mode opératoire n'est pas récent, puisque la dernière grosse attaque de ce type date des années 1999 / 2000, avec le fameux ver ILOVEYOU.Selon McAfee, ces messages se présentent sous deux formes :
Subject : Here you have ou Just For you
Body :
Hello:
This is The Document I told you about,you can find it Here.
http://www.sharedocuments.com/library/PDF_Document21.025542010.pdf
Please check it and reply as soon as possible.
Cheers,
Body :
Hello:
This is The Document I told you about,you can find it Here.
http://www.sharedocuments.com/library/PDF_Document21.025542010.pdf
Please check it and reply as soon as possible.
Cheers,
ou
Hello:
This is The Free Dowload Sex Movies,you can find it Here.
http://www.sharemovies.com/library/SEX21.025542010.wmv
Enjoy Your Time.
Cheers,
This is The Free Dowload Sex Movies,you can find it Here.
http://www.sharemovies.com/library/SEX21.025542010.wmv
Enjoy Your Time.
Cheers,
Exemple fourni par Symantec
Ces mails affichent une URL déguisée, qui renvoie en réalité sur le fichier "PDF_Document21_025542010_pdf.scr", hébergé jusqu'à présent sur members.multimania.co.uk. L'URL est pour l'instant désactivée, mais d'autres versions du ver pourraient émerger avec d'autres URL, surtout que le trojan télécharge d'autres fichiers une fois installé.
Le fichier .scr est une variation du ver W32.Imsolk.A@mm. Il est exécutable, et se répand en envoyant un message à tous les contacts email de la victime, par les messageries instantanées, en se copiant sur les autres disques durs installés, sur les ordinateurs du réseau, et sur les supports amovibles branchés.
Le fichier créé des autoruns sur les disques durs et les supports amovibles, pointant vers une copie du trojan nommée open.exe. Dans Windows, il créé un fichier CSRSS.EXE dans le dossier /windows. Il ne faut pas le confondre avec le vrai fichier CSRSS.EXE situé dans le dossier system de Windows. Il se copie aussi à plusieurs endroits sous le nom "N73.Image12.03.2009.JPG.scr".
De plus, une fois installé le ver désactive la plupart des antivirus du marché, qu'ils soient payants ou gratuits, compliquant sa désinstallation. Plusieurs grandes entreprises ont été touchées, et même en France selon des courriers de nos lecteurs.
Norton et McAfee ont publié hier et aujourd'hui les signatures de ce cheval de Troie. Antivir et Avast ne semblent pas l'avoir encore fait. Comme toujours, sous Windows comme sous n'importe quel autre OS, les recommandations sont de ne pas cliquer sur les liens suspects présents dans les mails ou sur Internet, et de garder la base de signatures de son antivirus à jour.
Jeff,
Le 10 septembre 2010 à 11:03
(49 343
lectures)
Il y a 254 commentaires
INpactien
yeti62
Le vendredi 10 septembre 2010 à 11:07:06
#1
Inscrit
le mercredi 15 juillet 09
-
7438
commentaires
dossier /windows
Linuxien détecté
Bravo Jeff
Comme toujours, sous Windows comme sous n'importe quel autre OS, les recommandations sont de ne pas cliquer sur les liens suspects présents dans les mails ou sur Internet, et de garder la base de signatures de son antivirus à jour.
Je crois que 80% des visiteurs de PCI le savent
INpactien
ne fois installé le ver désactive la plupart des antivirus du marché
Je pensais pourtant que c'était relativement difficile une chose pareille
INpactien
hellmut
Le vendredi 10 septembre 2010 à 11:08:53
#3
Inscrit
le jeudi 9 décembre 04
-
4529
commentaires
on peut penser que des boites comme Gmail ou Yahoo mail le colleront directement dans SPAM non?
INpactien
Glasofruix
Le vendredi 10 septembre 2010 à 11:09:13
#4
Inscrit
le samedi 30 septembre 06
-
413
commentaires
Ouais et moi en allumant mon pc ce matin et en visitant soit pci, soit clubic j'ai eu la désagréable surprise de découvrir qu'un certain norton security scan s'est installé sans que je ne le demande. J'ai quand même vérifié si ça venait pas d'un logiciel que j'ai installé récemment mais il se trouve que cette saloperie s'est installée aujourd'hui.
Modérateur
manudwarf
Le vendredi 10 septembre 2010 à 11:09:43
#5
Inscrit
le dimanche 14 décembre 08
-
4174
commentaires
OMG ! Les fichiers sur Windows sont exécutables par défaut ?
Il n'est plus possible de commenter cette actualité
Vous devez être connecté ou vous inscrire en haut pour pouvoir participer aux commentaires.
Il y a 254 commentaires
-
HubiC : les premiers clients reçoivent leur année de dédommagement
(19)
Abonné en 2012 ? Surveillez vos mails -
[MàJ] The Pirate Bay de retour
(16)
Le bateau coule ? -
Bing Translator parle Klingon
(13)
HIjol -
Les jeux sur Google+, c'est fini
(46)
Facebook m'a tuer
![[MàJ] The Pirate Bay de retour](http://static.pcinpact.com/images/bd/dedicated/79905.jpg)
-
Ultrabook ASUS Zenbook UX32VD de 13,3" en Full HD : 799,99 €
Valable jusqu'au 27 mai -
20 % de remise sur des accessoires pour l'achat d'une tablette
Valable pendant 21 heures -
Le jeu FIFA 13 pour PC à 24,99 €
Valable jusqu'au 28 mai -
Xbox 360 de 250 Go avec Batman Arkham City et Darksiders II : 192,40 €
Valable jusqu'au 27 mai
