Gibe.B
est un virus qui
se propage par email, IRC, KaZaA et via les dossiers partagés.
Il se présente sous la forme d'un message
dont le titre et le nom du fichier joint sont aléatoires,
en se faisant passer pour un correctif de sécurité
de l'éditeur Microsoft. Si le fichier joint est exécuté,
le virus s'envoie à tous les correspondants présents
dans le carnet d'adresses Windows et se copie sous divers noms
aguicheurs dans le répertoire partagé via KaZaA.
PREVENTION
:
Les
utilisateurs concernés doivent mettre à
jour leur antivirus. En cas de doute, les utilisateurs
d'Internet Explorer 5.01 et 5.5 doivent aussi mettre
à jour leur navigateur via le site
de Microsoft ou le service WindowsUpdate
afin de corriger la faille parfois exploitée
par le virus pour s'exécuter automatiquement.
DESINFECTION
:
Avant
de commencer la désinfection, il est impératif
de s'assurer avoir appliqué les mesures préventives
ci-dessus afin d'empêcher toute réinfection
de l'ordinateur par le virus. Les utilisateurs ne disposant
pas d'un antivirus peuvent utiliser gratuitement l'antivirus
gratuit en ligne pour rechercher et éliminer
le virus.
|
TYPE
:
Ver
SYSTEME(S)
CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
ALIAS
:
I-Worm.Gibe.b (Kaspersky)
W32/Gibe.b@mm (Mc Afee)
W32.Gibe.B@mm (Symantec)
W32/Gibe-D (Sophos)
WORM_GIBE.B (Trend Micro)
TAILLE
:
155.648 octets
DECOUVERTE
:
25/02/2003
DESCRIPTION
DETAILLEE :
Le virus se présente sous la forme d'un message
dont le titre, le corps et le nom du fichier joint sont aléatoires
Quelques
titres de messages :
- Prove
update from Microsoft
- Last
Internet Security Pack.
- FW:
Check out this update from the Microsoft.
- Taste
this security update from Microsoft.
- FWD:
Look at that update from M$ Corporation.
- FWD:
Look at this correction security pack from Microsoft
- Check
this security patch from M+ Corporation
- FWD:
Taste these security update from Microsoft.
- FW:
Watch that correction pack from M$ Corporation
- RE:
Look at this patch from Microsoft.
- Look
at the patch from M$ Corporation.
- RE:
Try this security update from Microsoft.
- FW:
Check security pack from the M$ Corporation
- Prove
this security pack which comes from Microsoft.
- FWD:
Check the pack from the M$ Corporation.
- FW:
Take a look at these pack from the M$ Corporation.
Le corps
du message se présente comme un bulletin de sécurité
et incite le destinataire à exécuter le fichier
joint, qui est un exemplaire du virus :
Microsoft
Customer
this is the latest version of security update, the "February
2003, Cumulative Patch" update which eliminates all known
security vulnerabilities affecting Internet Explorer, Outlook
and Outlook Express as well as five newly discovered vulnerabilities.
Install now to protect your computer from these vulnerabilities,
the most serious of which could allow an attacker to run executable
on your system. This update includes the functionality of
all previously released patches.
System requirements:
Win 9x/Me/2000/NT/XP
This update applies to:
Microsoft Internet Explorer, version 4.01 and later
Microsoft Outlook, version 8.00 and later
Microsoft Outlook Express, version 4.01 and later
Recommendation:
Customers should install the patch at the earliest opportunity.
How to install:
Run attached file. Click Yes on displayed dialog box.
How to use:
You don't need to do anything after installing this item.
Microsoft Technical Support is available at http://support.microsoft.com/
For security-related information about Microsoft products,
please visit the Microsoft Security Advisor web site at
http://www.microsoft.com/security
Contact us at http://www.microsoft.com/isapi/goregwiz.asp?target=/contactus/contactus.asp
Please do not reply to this message. It was sent from an unmonitored
e-mail address and we are unable to respond to any replies.
Thank you for using Microsoft products
La pièce
jointe possède un nom aléatoire et une extension
en .EXE ou .ZIP :
- q411416.zip
- Q300585.EXE
- update683.exe
- patch107.exe
- update989.exe
- q201459.exe
Si le
fichier joint est exécuté, le virus s'envoie
à tous les correspondants présents dans le carnet
d'adresses Windows et le cas échéant se copie
sous divers noms aguicheurs dans le répertoire mis
en partage via KaZa :
- IEPatch.exe
- KaZaA
upload.exe
- Porn.exe
- XboX
Emulator.exe
- PS2
Emulator.exe
- XP
update.exe
- XXX
Video.exe
- Sick
Joke.exe
- Free
XXX Pictures.exe
- My
naked sister.exe
- Hallucinogenic
Screensaver.exe
- Cooking
with Cannabis.exe
- Magic
Mushrooms Growing.exe
- I-Worm_Gibe
Cleaner.exe
Si le
logiciel mIRC est installé, Gibe.B modifie le fichier
Script.ini pour s'envoyer automatiquement aux autres utilisateurs
lors d'un chat. Enfin, le virus tente de se propager via les
partages réseau en se copiant dans le dossier Démarrage
des machines distantes sous le nom WEBLOADER.EXE.
INFORMATIONS
COMPLEMENTAIRES :
->
FAQ : comment
désinfecter le répertoire C:\RESTORE?
-> FAQ
: que faire dans le cas d'un fichier "uncleanable"
(non nettoyable)?
-> FAQ
: comment supprimer un fichier en cours d'utilisation?
-> FAQ
: qu'est-ce que le partage de fichiers et comment y mettre
fin?
-> Dossier
Secuser.com sur les virus
-> Abonnement gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
|