La messagerie AIM visitée par le ver Oscabot
Oscabot-E (ou selon les éditeurs W32/Sdbot.worm.gen.bh, Doyorg, ...
Oscabot-E (ou selon les éditeurs W32/Sdbot.worm.gen.bh, Doyorg, Win32_Opanki-I etc.) est un nouveau ver, prenant pour cible AIM, la messagerie instantanée d'AOL. Il se matérialise d’abord sous la forme d’un petit message ("check this out, is that you?" ou "hey check out this" ou encore "check out my pictures"). Un lien hypertexte sur le This ou Pictures dirige directement sur Oscabot-E sous forme de fichier .Com ou .Pif.
Et ce n’est pas un gadget : s’il est téléchargé et exécuté, il va se placer dans le dossier Windows sous le nom de msgs.exe. Il va modifier des entrées de registres afin de s’exécuter à chaque démarrage. En outre, une porte dérobée va être installée afin de permettre à un attaquant distant de se voir ouvrir la machine hôte. Le cas échéant, cette prise d’assaut discrète se fera depuis un canal IRC spécifique. Enfin, si une session est commencée sur AOL Instant Messenger (AIM), le ver va s’envoyer en outre à tous les contacts, de la victime. Son mode opératoire rappelle celui de Kelvir qui frappait il y a peu MSN Messenger.
Comme habituellement, on évitera la cliquite, l’inflammation de la phalange consistant à cliquer à l’aveuglette sur tout ce qui bouge, dont les liens envoyés sans raison. Ainsi, si votre neveu de 6 ans se met à parler anglais sur AIM, méfiance. S’il est néanmoins trop tard, on pourra passer un petit coup d’antivirus sur la machine faillible pour retrouver sa virginité d'antan.
Et ce n’est pas un gadget : s’il est téléchargé et exécuté, il va se placer dans le dossier Windows sous le nom de msgs.exe. Il va modifier des entrées de registres afin de s’exécuter à chaque démarrage. En outre, une porte dérobée va être installée afin de permettre à un attaquant distant de se voir ouvrir la machine hôte. Le cas échéant, cette prise d’assaut discrète se fera depuis un canal IRC spécifique. Enfin, si une session est commencée sur AOL Instant Messenger (AIM), le ver va s’envoyer en outre à tous les contacts, de la victime. Son mode opératoire rappelle celui de Kelvir qui frappait il y a peu MSN Messenger.
Comme habituellement, on évitera la cliquite, l’inflammation de la phalange consistant à cliquer à l’aveuglette sur tout ce qui bouge, dont les liens envoyés sans raison. Ainsi, si votre neveu de 6 ans se met à parler anglais sur AIM, méfiance. S’il est néanmoins trop tard, on pourra passer un petit coup d’antivirus sur la machine faillible pour retrouver sa virginité d'antan.
Marc Rees
le 18 mai 2005 à 09:15
(3 856
lectures)
Actualités et brèves relatives
- 12 / 05 / 2005 : Whistler, un cheval de Troie pour se faire malware
- 12 / 05 / 2005 : Reuters sécurise son logiciel de messagerie instantannée
- 12 / 05 / 2005 : AOL ouvre un webmail avec 2Go
- 11 / 05 / 2005 : Symantec dévoile un simulateur de vers
- 04 / 05 / 2005 : Sober, le ver qui vous Coupe du Monde
- 03 / 05 / 2005 : Cabir a voyagé vers une vingtaine de pays
- 02 / 05 / 2005 : Kelvir.AZ, un virus .Com les autres
- 27 / 04 / 2005 : Nouveau Messenger beta d'AOL : dialoguez avec Triton
- 23 / 04 / 2005 : Le ver Nopir fait trinquer les mp3
