Doomjuice est un virus qui cible uniquement
les ordinateurs infectés par le virus Mydoom.A/B. Si
la porte dérobée installée par ce dernier
n'a pas été éliminée, Doomjuice
l'utilise pour infecter l'ordinateur à l'insu de l'utilisateur
puis scanne le réseau à la recherche de nouvelles
machines vulnérables. Il est par ailleurs programmé
pour déposer le code source du virus Mydoom.A sur chaque
ordinateur infecté et lancer une attaque par déni
de service contre le site Microsoft.com. Doomjuice ne se propage
ni par e-mail ni via KaZaA, donc ne représente pas une menace
pour les ordinateurs sains. Il reste urgent pour les retardataires
de procéder à l'éradication de Mydoom.A.
PREVENTION :
Les utilisateurs concernés doivent mettre
à jour leur antivirus. En cas de doute, les internautes
doivent également rechercher
et supprimer le virus Mydoom.A/B afin de supprimer
la porte dérobée utilisée par Doomjuice
pour s'installer à leur insu.
DESINFECTION :
Avant de commencer la désinfection, il est impératif
de s'assurer avoir appliqué les mesures préventives
ci-dessus afin d'empêcher toute réinfection
de l'ordinateur par le virus. Les utilisateurs ne disposant
pas d'un antivirus peuvent utiliser gratuitement l'utilitaire
de désinfection Stinger pour rechercher et
éliminer le virus.
|
TYPE :
Ver
SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003
ALIAS :
Win32.Doomjuice.A (CA)
Doomjuice (F-Secure)
Worm.Win32.Doomjuice (Kaspersky)
Mydoom.c (Lurhq)
W32/Doomjuice.worm.a (Mc Afee)
W32.HLLW.Doomjuice (Symantec)
WORM_DOOMJUICE.A (Trend Micro)
TAILLE :
36.864 octets
DECOUVERTE :
09/02/04
DESCRIPTION DETAILLEE :
Doomjuice vise uniquement les ordinateurs infectés
par le virus Mydoom.A/B. Si la porte
dérobée installée par ce dernier n'a
pas été éliminée, Doomjuice l'utilise
pour infecter l'ordinateur lors de sa connexion à Internet
: il provoque le téléchargement d'un fichier
INTRENAT.EXE dans le répertoire Système de Windows,
puis son exécution sans aucune intervention de l'utilisateur.
Une fois l'ordinateur infecté, le virus modifie la
base de registres pour s'exécuter à chaque démarrage,
puis scanne ensuite continuellement le réseau à
la recherche de nouvelles machines vulnérables. Doomjuice
dépose le code source du virus Mydoom.A sur chaque
ordinateur infecté sous le nom sync-src-1.00.tbz, afin
de signifier probablement qu'il a été écrit
par le même auteur, et lance une attaque par déni
de service contre le site Microsoft.com.
Doomjuice ne se propage ni par e-mail ni via KaZaA, donc
ne représente pas une menace pour les ordinateurs sains. Il
reste cependant urgent pour les internautes retardataires
de procéder à l'éradication de Mydoom.A.
11/02/04 : une variante Doomjuice.B
a été identifiée. La principale différence
est le nom du fichier infectant, regedit.exe (5.120
octets, dans le répertoire Système de Windows)
au lieu de intrenat.exe et la capacité renforcée
du virus à mener une attaque DoS contre le site de
Microsoft, ce qui ne change rien pour l'utilisateur d'un ordinateur
sain puisque ce virus ne cible que les machines déjà
infectées par le virus Mydoom.A/B.
INFORMATIONS COMPLEMENTAIRES :
-> Abonnement
gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
-> Identifier
les fausses alertes virus avec Hoaxkiller.fr
-> FAQ
: des dizaines de messages infectés envahissent ma boîte aux
lettres. Mon ordinateur est-il contaminé? Comment arrêter
ça?
-> FAQ
: une alerte m'indique qu'un virus a été trouvé dans un message
que j'ai envoyé. Mon ordinateur est-il infecté?
-> FAQ : comment
désinfecter le répertoire C:\RESTORE?
-> FAQ
: que faire dans le cas d'un fichier "uncleanable"
(non nettoyable)?
-> FAQ
: comment supprimer un fichier en cours d'utilisation?
-> FAQ
: qu'est-ce que le partage de fichiers et comment y mettre
fin?
-> Dossier
Secuser.com sur les virus
|