Virus
Netsky.AB

Netsky.AB est un virus qui se propage par email. Il se présente sous la forme d'un message en anglais dont le titre et le corps sont aléatoires, avec un fichier joint dont l'extension est .PIF (18 Ko), tentant notamment de faire croire au destinataire que l'expéditeur a récupéré son mot de passe ou son numéro de carte bancaire pour le pousser à ouvrir le fichier joint. Si ce fichier est exécuté, le virus s'envoie aux correspondants présents dans le carnet d'adresses Windows et divers fichiers en utilisant une adresse falsifiée.
  

TYPE :
Ver

SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003

ALIAS :
Win32.Netsky.AB (Computer Associates)
NetSky.AB (F-Secure)
I-Worm.Netsky.ac (Kaspersky)
W32/Netsky.ab@MM (McAfee)
W32/Netsky.AB.worm (Panda Software)
W32/Netsky-AB (Sophos)
W32.Netsky.AB@mm (Symantec)
WORM_NETSKY.AB (Trend Micro)
Worm.SomeFool.AB

TAILLE :
17.920 octets

DECOUVERTE :
28/04/2004

DESCRIPTION DETAILLEE :
Le virus Netsky.AB se présente sous la forme d'un message dont le titre, le corps et le nom du fichier joint sont aléatoires. Les titres de message :

• Correction
• Hurts
• Privacy
• Password
• Wow
• Criminal
• Pictures
• Text
• Money
• Stolen
• Found
• Numbers
• Funny
• Only
• love?
• More
• samples
• Picture
• Letter
• Question
• Illegal

Le corps du message est un court texte destiné à interpeller l'internaute et à l'inciter à ouvrir le fichier joint :

• Please use the font arial!
• How can I help you?
• Still?
• I've your password.
• Take it easy!
• Why do you show your body?
• Hey, are you criminal?
• Your pictures are good!
• The text you sent to me is not so good!
• True love letter?
• Do you have no money?
• Do you have asked me?
• I've found your creditcard.
• Check the data!
• Are your numbers correct?
• You have no chance...
• Wow! Why are you so shy?
• Do you have more samples?
• Do you have more photos about you?
• Do you have written the letter?
• Does it hurt you?
• Please do not sent me your illegal stuff again!!!

La pièce jointe possède une extension en .PIF :

• corrected_doc.pif
• hurts.pif
• document1.pif
• passwords02.pif
• image034.pif
• myabuselist.pif
• your_picture01.pif
• your_text01.pif
• your_letter.pif
• your_bill.pif
• my_stolen_document.pif
• visa_data.pif
• pin_tel.pif
• your_text.pif
• loveletter02.pif
• all_pictures.pif
• your_letter_03.pif
• your_picture.pif
• abuses.pif

Si le fichier joint est exécuté, le virus se copie dans le répertoire Windows sous le nom CSRSS.EXE, modifie la base de registres pour être exécuté à chaque démarrage de l'ordinateur, puis s'envoie aux contacts dont les adresses figurent dans le carnet d'adresses Windows (.WAB) ainsi que les fichiers .ADB, .ASP, .CFG, .CGI, .DBX, .DHTM, .DOC, .EML, .HTM, .HTML, .JSP, .MBX, .MDX, .MHT, .MMF, .MSG, .NCH, .ODS, .OFT, .PHP, .PL, .PPT, .RFT, .SHT, .SHTM, .TBB, .TXT, .UIN, .VBS, .WSH et .XML des disques C à Z (exceptés les CD-Rom) avec son propre moteur SMTP, en utilisant comme adresse d'expéditeur une adresse usurpée ou falsifiée.

INFORMATIONS COMPLEMENTAIRES :
-> Abonnement gratuit à la lettre Secuser Alerte pour être prévenu de l'apparition des nouveaux hoax et virus
-> Identifier les fausses alertes virus avec Hoaxkiller.fr
-> FAQ : des dizaines de messages infectés envahissent ma boîte aux lettres. Mon ordinateur est-il contaminé? Comment arrêter ça?
-> FAQ : une alerte m'indique qu'un virus a été trouvé dans un message que j'ai envoyé. Mon ordinateur est-il infecté?
-> FAQ : comment désinfecter le répertoire C:\RESTORE?
-> FAQ : que faire dans le cas d'un fichier "uncleanable" (non nettoyable)?
-> FAQ : comment supprimer un fichier en cours d'utilisation?
-> FAQ : qu'est-ce que le partage de fichiers et comment y mettre fin?
-> Dossier Secuser.com sur les virus