Dernières alertes virus | Page précédente

Virus
Netsky.B

TYPE :
Ver

SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003

ALIAS :
Moodown.B (F-Secure)
I-Worm.Moodown.b (Kaspersky)
I-Worm.Netsky.b (Kaspersky)
W32/Netsky.b@MM (McAfee)
W32.Netsky.B@mm (Symantec)
WORM_NETSKY.B (Trend Micro)
Worm.SomeFool.B-petite
Worm.SomeFool.Gen

TAILLE :
22.016 octets

DECOUVERTE :
18/02/2004

DESCRIPTION DETAILLEE :
Le virus Netsky.B se présente sous la forme d'un message dont le titre, le corps et le nom du fichier joint sont aléatoires Les titres de message :

• unknown
• fake
• stolen
• information
• warning
• something for you
• read it immediately
• hello

Le corps du message est un court texte plus ou moins anodin en anglais destiné à exciter la curiosité de l'internaute :

• something is fool
• something is going wrong
• you are bad
• you try to steal
• you feel the same
• you earn money
• thats wrong
• why?
• take it easy
• reply
• do you?
• that's funny
• here, the cheats
• here, the introduction
• here, the serials
• from the chatter
• about me information
• about you
• something is going wrong!
• stuff about you?
• greetings
• see you
• here it is
• that is bad
• yes, really?
• i found this document about you
• your name is wrong
• i hope it is not true!
• kill the writer of this document!
• something about you!
• I have your password!
• you are a bad writer is that from you?
• i wait for a reply!
• is that your account?
• is that your name?
• is that true?
• here
• my hero
• read it immediately!
• here is the document.
• read the details.
• i'm waiting
• what does it mean?
• anything ok?

La pièce jointe possède un nom aléatoire et une extension en .COM, .SCR, .EXE, .PIF ou .ZIP. Quelques exemples :

• object.zip
• mail2.zip
• party.com
• disco.zip
• story.com
• release.rtf.exe
• me.zip
• release.zip
• nomoney.exe
• part2.zip
• document.zip
• jokes.zip
• final.exe
• location.zip
• creditcard.rtf.scr
• mail2.doc.com
• disco.htm.scr
• product.htm.exe
• test.pif

Si le fichier joint est exécuté, le virus se copie dans le répertoire Windows sous le nom SERVICES.EXE, modifie la base de registres afin d'être exécuté à chaque démarrage de l'ordinateur, puis s'envoie automatiquement aux contacts dont les adresses figurent dans le carnet d'adresses Windows ainsi que les fichiers .ADB, .ASP, .DBX, .DOC, .EML, .HTM, .HTML, .MSG, .OFT, .PHP, .PL, .RFT, .SHT, .TBB, .TXT, .UIN, et .VBS présents sur le disque, en utilisant comme adresse d'expéditeur une adresse usurpée ou falsifée.

Netsky.B tente également de désactiver les virus Mydoom.A et Mydoom.B, ainsi que de se propager via les dossiers dont le nom comporte le mot "sharing" ou "share" (comme souvent KaZaa, Bearshare, etc.) en explorant les disques de C à Z et en s'y copiant sous divers noms aguicheurs :

• doom2.doc.pif
• sex sex sex sex.doc.exe
• rfc compilation.doc.exe
• dictionary.doc.exe
• win longhorn.doc.exe
• e.book.doc.exe
• programming basics.doc.exe
• how to hack.doc.exe
• max payne 2.crack.exe
• e-book.archive.doc.exe
• virii.scr
• nero.7.exe
• eminem - lick my pussy.mp3.pif
• cool screensaver.scr
• serial.txt.exe
• office_crack.exe
• hardcore porn.jpg.exe
• angels.pif
• porno.scr
• matrix.scr
• photoshop 9 crack.exe
• strippoker.exe
• winxp_crack.exe
• dolly_buster.jpg.pif

INFORMATIONS COMPLEMENTAIRES :
-> Abonnement gratuit à la lettre Secuser Alerte pour être prévenu de l'apparition des nouveaux hoax et virus
-> Identifier les fausses alertes virus avec Hoaxkiller.fr
-> FAQ : des dizaines de messages infectés envahissent ma boîte aux lettres. Mon ordinateur est-il contaminé? Comment arrêter ça?
-> FAQ : une alerte m'indique qu'un virus a été trouvé dans un message que j'ai envoyé. Mon ordinateur est-il infecté?
-> FAQ : comment désinfecter le répertoire C:\RESTORE?
-> FAQ : que faire dans le cas d'un fichier "uncleanable" (non nettoyable)?
-> FAQ : comment supprimer un fichier en cours d'utilisation?
-> FAQ : qu'est-ce que le partage de fichiers et comment y mettre fin?
-> Dossier Secuser.com sur les virus