Netsky.AB est un virus qui se propage par email. Il se présente
sous la forme d'un message en anglais dont le titre et le
corps sont aléatoires, avec un fichier joint dont l'extension
est .PIF (18 Ko), tentant notamment de faire croire au destinataire
que l'expéditeur a récupéré son
mot de passe ou son numéro de carte bancaire pour le
pousser à ouvrir le fichier joint. Si ce fichier est
exécuté, le virus s'envoie aux correspondants
présents dans le carnet d'adresses Windows et divers
fichiers en utilisant une adresse falsifiée.
PREVENTION :
Les utilisateurs concernés doivent mettre
à jour leur antivirus. D'une manière générale,
même si son nom est attrayant il ne faut pas exécuter
un fichier joint douteux sans avoir fait confirmer son
envoi par l'expéditeur du message.
DESINFECTION :
Avant de commencer la désinfection, il est impératif
de s'assurer avoir appliqué les mesures préventives
ci-dessus afin d'empêcher toute réinfection
de l'ordinateur par le virus. Les utilisateurs ne disposant
pas d'un antivirus peuvent utiliser gratuitement l'utilitaire
de désinfection FxNetsky pour rechercher
et éliminer le virus.
|
TYPE :
Ver
SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003
ALIAS :
Win32.Netsky.AB (Computer Associates)
NetSky.AB (F-Secure)
I-Worm.Netsky.ac (Kaspersky)
W32/Netsky.ab@MM (McAfee)
W32/Netsky.AB.worm (Panda Software)
W32/Netsky-AB (Sophos)
W32.Netsky.AB@mm (Symantec)
WORM_NETSKY.AB (Trend Micro)
Worm.SomeFool.AB
TAILLE :
17.920 octets
DECOUVERTE :
28/04/2004
DESCRIPTION DETAILLEE :
Le virus Netsky.AB se présente sous la forme d'un
message dont le titre, le corps et le nom du fichier joint
sont aléatoires. Les titres de message :
- Correction
- Hurts
- Privacy
- Password
- Wow
- Criminal
- Pictures
- Text
- Money
- Stolen
- Found
- Numbers
- Funny
- Only
- love?
- More
- samples
- Picture
- Letter
- Question
- Illegal
Le corps du message est un court texte destiné à
interpeller l'internaute et à l'inciter à ouvrir
le fichier joint :
- Please use the font arial!
- How can I help you?
- Still?
- I've your password.
- Take it easy!
- Why do you show your body?
- Hey, are you criminal?
- Your pictures are good!
- The text you sent to me is not so good!
- True love letter?
- Do you have no money?
- Do you have asked me?
- I've found your creditcard.
- Check the data!
- Are your numbers correct?
- You have no chance...
- Wow! Why are you so shy?
- Do you have more samples?
- Do you have more photos about you?
- Do you have written the letter?
- Does it hurt you?
- Please do not sent me your illegal stuff again!!!
La pièce jointe possède une extension en .PIF
:
- corrected_doc.pif
- hurts.pif
- document1.pif
- passwords02.pif
- image034.pif
- myabuselist.pif
- your_picture01.pif
- your_text01.pif
- your_letter.pif
- your_bill.pif
- my_stolen_document.pif
- visa_data.pif
- pin_tel.pif
- your_text.pif
- loveletter02.pif
- all_pictures.pif
- your_letter_03.pif
- your_picture.pif
- abuses.pif
Si le fichier joint est exécuté, le virus se
copie dans le répertoire Windows sous le nom CSRSS.EXE,
modifie la base de registres pour être exécuté
à chaque démarrage de l'ordinateur, puis s'envoie
aux contacts dont les adresses figurent dans le carnet d'adresses
Windows (.WAB) ainsi que les fichiers .ADB, .ASP, .CFG, .CGI,
.DBX, .DHTM, .DOC, .EML, .HTM, .HTML, .JSP, .MBX, .MDX, .MHT,
.MMF, .MSG, .NCH, .ODS, .OFT, .PHP, .PL, .PPT, .RFT, .SHT,
.SHTM, .TBB, .TXT, .UIN, .VBS, .WSH et .XML des disques C
à Z (exceptés les CD-Rom) avec son propre moteur
SMTP, en utilisant comme adresse d'expéditeur une adresse
usurpée ou falsifiée.
INFORMATIONS COMPLEMENTAIRES :
-> Abonnement
gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
-> Identifier
les fausses alertes virus avec Hoaxkiller.fr
-> FAQ
: des dizaines de messages infectés envahissent ma boîte aux
lettres. Mon ordinateur est-il contaminé? Comment arrêter
ça?
-> FAQ
: une alerte m'indique qu'un virus a été trouvé dans un message
que j'ai envoyé. Mon ordinateur est-il infecté?
-> FAQ : comment
désinfecter le répertoire C:\RESTORE?
-> FAQ
: que faire dans le cas d'un fichier "uncleanable"
(non nettoyable)?
-> FAQ
: comment supprimer un fichier en cours d'utilisation?
-> FAQ
: qu'est-ce que le partage de fichiers et comment y mettre
fin?
-> Dossier
Secuser.com sur les virus
|