Mimail.C
est un virus qui
se propage par email. Il se présente sous la forme d'un
message
dont le titre est "Re[2]: our private photos", accompagné
d'un fichier joint PHOTOS.ZIP qui contient un fichier PHOTOS.JPG.EXE.
Si
ce fichier est exécuté, le virus s'envoie aux
correspondants dont
l'adresse est présente dans le carnet d'adresses Windows
et divers fichiers, puis
espionne certaines frappes au clavier afin d'en envoyer le contenu
à son créateur.
|
PREVENTION
:
Les utilisateurs concernés doivent mettre
à jour leur antivirus. D'une manière générale,
même si son nom est attrayant il ne faut pas exécuter
un fichier joint sans au moins l'avoir au préalable
analysé avec un antivirus à jour.
DESINFECTION
:
Avant
de commencer la désinfection, il est impératif
de s'assurer avoir appliqué les mesures préventives
ci-dessus afin d'empêcher toute réinfection
de l'ordinateur par le virus. Les utilisateurs ne disposant
pas d'un antivirus peuvent utiliser gratuitement l'utilitaire
de désinfection FxMimail pour rechercher
et éliminer le virus.
|
TYPE
:
Ver
SYSTEME(S)
CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
ALIAS
:
Win32.Mimail.C (CA)
I-Worm.WatchNet (Kaspersky)
W32/Mimail@MM (Mc Afee)
W32/Mimail-C (Sophos)
W32.Mimail.C@mm (Symantec)
WORM_MIMAIL.C (Trend Micro)
TAILLE
:
12.832 octets
DECOUVERTE
:
31/10/2003
DESCRIPTION
DETAILLEE :
Mimail.C est une variante du virus Mimail.A.
Il se présente sous la forme d'un courrier électronique
dont dont le titre est "Re[2]: our private photos [caractères
variables]"
et dont le corps du message est :
"Hello Dear!,
Finally i've found possibility to right u, my lovely girl
:) All our photos which i've made at the beach (even when
u're without ur bh:)) photos are great! This evening i'll
come and we'll make the best SEX :)
Right now enjoy the photos.
Kiss, James.
[caractères variables]"
L'adresse
d'expéditeur du message infecté est james@[nom
de domaine], le nom de domaine étant le même
que le nom de domaine de l'adresse email du destinataire.
Cette adresse est forgée par le virus, donc le message
n'est pas réellement envoyé par le correspondant
en question, s'il existe.
Ce message
incite l'utilisateur à ouvrir le fichier joint PHOTOS.ZIP
qui contient un fichier PHOTOS.JPG.EXE.
Si ce dernier est ouvert, le virus se copie dans le répertoire
Windows sous le nom NETWATCH.EXE, s'envoie
à la plupart des adresses emails présentes sur
le disque dur (récupérées dans tous les
fichiers autres que .avi, .bmp, .cab, .com, .dll, .exe, .gif,
.jpg, .mp3, .mpg, .ocx, .pdf, .psd, .rar, .tif, .vxd, .wav
et .zip), espionne
certaines frappes au clavier afin d'en envoyer le contenu
à plusieurs adresses emails appartenant probablement
à son créateur et peut lancer une attaque par
déni de service contre les sites Darkprofits.com et
Darkprofits.net.
INFORMATIONS
COMPLEMENTAIRES :
->
FAQ : comment
désinfecter le répertoire C:\RESTORE?
-> FAQ
: que faire dans le cas d'un fichier "uncleanable"
(non nettoyable)?
-> FAQ
: comment supprimer un fichier en cours d'utilisation?
-> FAQ
: qu'est-ce que le partage de fichiers et comment y mettre
fin?
-> Dossier
Secuser.com sur les virus
-> Abonnement gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
|
