Blackmal.E

 
Poster un nouveau sujet   Répondre au sujet    Forums World-Informatique.com Index du Forum -> Virus et sécurité Version imprimable
Voir le sujet précédent :: Voir le sujet suivant  
Auteur Message
deviltaz49

Technicien WI
Technicien WI


Inscrit le: 06 Avr 2004
Messages: 3455
Localisation: Sur la banquise avec les manchots

MessagePosté le: Jeu Jan 19, 2006 9:20 Répondre en citant

Blackmal.E

Source : www.secuser.com

Blackmal.E est un virus qui se propage par courrier électronique et via les partages réseau. Il se présente sous la forme d'un message dont le titre et le corps sont aléatoires, accompagné d'un fichier joint dont l'extension est variable (environ 95 Ko), en tentant de se faire passer pour une image ou un document à voir. Si ce fichier est exécuté, le virus tente de supprimer ou désactiver certains antivirus et logiciels de sécurité, puis il s'envoie en masse aux adresses figurant dans le carnet d'adresses Windows et divers autres fichiers.


PREVENTION :
Les utilisateurs concernés doivent mettre à jour leur antivirus. D'une manière générale, même si son nom est attrayant il ne faut pas exécuter un fichier joint sans l'avoir au préalable analysé avec un antivirus à jour. Il faut également supprimer les partages de ressources inutiles et protéger les autres par mot de passe afin de prévenir toute propagation du virus.

DESINFECTION :
Avant de commencer la désinfection, il est impératif de s'assurer avoir appliqué les mesures préventives ci-dessus afin d'empêcher toute réinfection de l'ordinateur par le virus. Les utilisateurs ne disposant pas d'un antivirus peuvent utiliser gratuitement l'utilitaire de désinfection FixBmalE pour rechercher et éliminer le virus.

TYPE :
Ver

SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003

ALIAS :
Win32.Blackmal.F (CA)
VB.bi (F-Secure)
W32/MyWife.d@MM (McAfee)
W32/Tearec.A.worm (Panda Software)
W32/Nyxem-D (Sophos)
W32.Blackmal.E@mm (Symantec)
WORM_GREW.A (Trend Micro)

TAILLE :
environ 95 Ko

DECOUVERTE :
17/01/2006

DESCRIPTION DETAILLEE :
Le virus Blackmal.E se présente sous la forme d'un message dont le titre, le corps et le nom du fichier joint sont aléatoires Les titres de message :

* *Hot Movie*
* A Great Video
* Arab sex DSC-00465.jpg
* eBook.pdf
* Fw:
* Fw: DSC-00465.jpg
* Fw: Funny Smile
* Fw: Picturs
* Fw: Real show
* Fw: SeX.mpg
* Fw: Sexy
* Fwd: Crazy illegal Sex!
* Fwd: image.jpg
* Fwd: Photo
* give me a kiss
* Miss Lebanon 2006
* My photos
* Part 1 of 6 Video clipe
* Photos
* Re:
* School girl fantasies gone bad

Le corps du message est un court texte en anglais destiné à inciter l'internaute à ouvrir le fichier joint :

* Note: forwarded message attached. You Must View This Videoclip!
* >> forwarded message
* Re: Sex Video
* i just any one see my photos.
* It's Free Smile
* The Best Videoclip Ever
* Hot XXX Yahoo Groups
* Fuckin Kama Sutra pics
* ready to be FUCKED Wink
* forwarded message attached.
* VIDEOS! FREE! (US$ 0,00)
* What?
* i send the file.
* Helloi attached the details.
* Thank you
* the file i send the details
* hello,
* Please see the file.
* how are you?
* i send the details.

La pièce jointe est généralement un fichier exécutable possédant un nom aléatoire et une extension variable (environ 95 Ko), tentant de se faire passer pour une image ou un document attrayant :

* 007.pif
* 392315089702606E-02,.scR
* 677.pif
* Adults_9,zip.sCR
* Arab sex DSC-00465.jpg
* ATT01.zip.sCR
* Attachments[001],B64.sCr
* Clipe,zip.sCr
* document.pif
* DSC-00465.Pif
* DSC-00465.pIf
* eBook.PIF
* image04.pif
* New Video,zip
* New_Document_file.pif
* photo.pif
* Photos,zip.sCR
* School.pif
* SeX,zip.scR
* WinZip,zip.scR
* WinZip.BHX
* WinZip.zip.sCR
* Word XP.zip.sCR
* Word.zip.sCR
* 04.pif
* DSC-00465.Pif
* DSC-00465.pIf
* image04.pif

Elle peut également être un fichier MIME contenant un fichier exécutable :

* 3.92315089702606E02.UUE
* Attachments[001].B64
* Attachments00.HQX
* Attachments001.BHX
* eBook.Uu
* Original Message.B64
* Sex.mim
* SeX.mim
* Video_part.mim
* WinZip.BHX
* Word_Document.hqx
* Word_Document.uu

Si ce fichier est exécuté, le virus se copie dans le répertoire Windows sous le nom Rundll16.exe et dans le répertoire System sous les noms scanregw.exe, Winzip.exe, Update.exe, WINZIP_TMP.EXE, SAMPLE.ZIP et New WinZip File.exe, puis il modifie la base de registres afin d'être exécuté à chaque démarrage de l'ordinateur, tente de supprimer ou désactiver certains antivirus et logiciels de sécurité (dont Symantec, Mc Afee, Trend Micro, Kaspersky, avast! et AVG), puis il s'envoie automatiquement aux adresses électroniques figurant dans le carnet d'adresses Windows et divers autres fichiers du disque dur, en utilisant une adresse d'expéditeur usurpée ou falsifiée. Il tente enfin de se propager via les partages réseau sous le nom WINZIP_TMP.EXE.
Revenir en haut
Invisible Voir le profil de l'utilisateur Envoyer un message privé Voir les profils informatiques
deviltaz49

Technicien WI
Technicien WI


Inscrit le: 06 Avr 2004
Messages: 3455
Localisation: Sur la banquise avec les manchots

MessagePosté le: Jeu Fév 02, 2006 16:01 Répondre en citant

Virus: Kama Sutra aurait commencé son oeuvre de destruction

Source : www.silicon.fr

Prévu pour s'activer ce vendredi, le ver serait déjà passé à l'action en détruisant des fichiers de PC dont le calendrier est en avance.

Lire la suite
Revenir en haut
Invisible Voir le profil de l'utilisateur Envoyer un message privé Voir les profils informatiques
Montrer les messages depuis:    Voir le sujet précédent :: Voir le sujet suivant  
Poster un nouveau sujet   Répondre au sujet    Forums World-Informatique.com Index du Forum -> Virus et sécurité Toutes les heures sont au format GMT + 1 Heure
Page 1 sur 1

 
Sauter vers:  
Vous ne pouvez pas poster de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas voter dans les sondages de ce forum



Powered by phpBB © 2001, 2005 phpBB Group   -   Traduction par : phpBB-fr.com
Hébergement offert par OVH