Netsky.D est un virus qui se propage par email.
Il se présente sous la forme d'un message dont le titre
et le corps sont aléatoires, avec un fichier joint dont
l'extension est .PIF (17 Ko). Si ce dernier est exécuté,
le virus s'envoie aux adresses présentes dans le carnet
d'adresses Windows ainsi que divers autres fichiers du disque
dur à une vitesse particulièrement élevée.
PREVENTION :
Les utilisateurs concernés doivent mettre
à jour leur antivirus. D'une manière générale,
même si son nom est attrayant il ne faut pas exécuter
un fichier joint sans l'avoir au préalable analysé avec
un antivirus à jour.
DESINFECTION :
Avant de commencer la désinfection, il est impératif
de s'assurer avoir appliqué les mesures préventives
ci-dessus afin d'empêcher toute réinfection
de l'ordinateur par le virus. Les utilisateurs ne disposant
pas d'un antivirus peuvent utiliser gratuitement l'utilitaire
de désinfection FxNetsky pour rechercher
et éliminer le virus.
|
TYPE :
Ver
SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003
ALIAS :
Moodown.D (F-Secure)
I-Worm.Moodown.d (Kaspersky)
I-Worm.Netsky.d (Kaspersky)
W32/Netsky.d@MM (McAfee)
W32.Netsky.D@mm (Symantec)
W32.Netsky.Gen@mm (Symantec)
WORM_NETSKY.D (Trend Micro)
Worm.SomeFool.D
Worm.SomeFool.Gen
TAILLE :
17.424 octets
DECOUVERTE :
01/03/2004
DESCRIPTION DETAILLEE :
Le virus Netsky.D est une variante du virus Netsky.C.
Il se présente sous la forme d'un message dont le titre,
le corps et le nom du fichier joint sont aléatoires
Les titres de message :
- Re: Your website
- Re: Your product
- Re: Your letter
- Re: Your archive
- Re: Your text
- Re: Your bill
- Re: Your details
- Re: My details
- Re: Word file
- Re: Excel file
- Re: Details
- Re: Approved
- Re: Your software
- Re: Your music
- Re: Here
- Re: Re: Re: Your document
- Re: Hello
- Re: Hi
- Re: Re: Message
- Re: Your picture
- Re: Here is the document
- Re: Your document
- Re: Thanks!
- Re: Re: Thanks!
- Re: Re: Document
- Re: Document
Le corps du message est un court texte en anglais destiné
à inciter l'internaute à ouvrir le fichier joint
:
- Your file is attached.
- Please read the attached file.
- Please have a look at the attached file.
- See the attached file for details.
- Here is the file.
- Your document is attached.
La pièce jointe possède un nom aléatoire
et une extension en .PIF :
- your_website.pif
- your_product.pif
- your_letter.pif
- your_archive.pif
- your_text.pif
- your_bill.pif
- your_details.pif
- document_word.pif
- document_excel.pif
- my_details.pif
- all_document.pif
- application.pif
- mp3music.pif
- yours.pif
- document_4351.pif
- your_file.pif
- message_details.pif
- your_picture.pif
- document_full.pif
- message_part2.pif
- document.pif
- your_document.pif
Si le fichier joint est exécuté, le virus se
copie dans le répertoire Windows sous le nom WINLOGON.EXE,
modifie la base de registres pour être exécuté
à chaque démarrage de l'ordinateur, puis s'envoie
aux contacts dont les adresses figurent dans le carnet d'adresses
Windows ainsi que les fichiers .ADB, .ASP, .CGI, .DBX, .DHTM,
.DOC, .EML, .HTM, .HTML, .MSG, .OFT, .PHP, .PL, .RFT, .SHT,
.SHTM, .TBB, .TXT, .UIN et .VBS des disques C à Z,
en utilisant comme adresse d'expéditeur une adresse
usurpée ou falsifiée mais en évitant
les adresses dont le nom de domaine contient "abuse",
"fbi", "orton, "f-pro", "aspersky",
"cafee", "orman", "itdefender",
f-secur", "avp", "skynet", "spam",
"messagelabs", "ymantec", "antivi"
et "icrosoft". Le virus lance 8 processus simultanés,
ce qui fait qu'il est capable d'envoyer 8 fois plus de messages
infectés que son prédécesseur Netsky.C.
Netsky.D tente également de désactiver les
virus Mydoom.A, Mydoom.B,
Mimail.T, Netsky.A et Netsky.B.
Pour signaler sa présence, le virus fait enfin retentir
le beeper de l'ordinateur infecté entre 6 h et 9h du
matin le 02/03/04.
01/03/04 : une variante mineure
Netsky.E (également nommée Moodown.E,
I-Worm.Moodown.e, W32/Netsky.e@MM, W32.Netsky.E@mm, WORM_NETSKY.E,
Worm.SomeFool.E) a été identifiée. Elle
se distingue essentiellement par une taille du fichier infectant
de 24.840 octets et une variété encore plus
grande de titres et corps de message. Un utilitaire de désinfection
est disponible pour supprimer Netsky.E.
03/03/04 : une variante mineure
Netsky.F (également nommée Moodown.F,
I-Worm.Moodown.f, W32/Netsky.f@MM, W32.Netsky.F@mm, WORM_NETSKY.F,
Worm.SomeFool.F) a été identifiée. Elle
se distingue par une taille du fichier infectant de 18.432
octets et le fait qu'elle désactive plusieurs variantes
du virus Bagle, sans toutefois les supprimer.
08/03/04 : une variante mineure
Netsky.J (également nommée Moodown.J,
I-Worm.Moodown.j, W32/Netsky.j@MM, W32.Netsky.K@mm, WORM_NETSKY.J,
Worm.SomeFool.J) a été identifiée. Elle
se distingue par une taille du fichier infectant de 22.016
octets (méthode de compression différente) et
par le fait qu'elle désactive toutes les variantes
connues du virus Bagle et de quelques autres virus, sans toutefois
les supprimer. Un utilitaire de désinfection est disponible
pour supprimer Netsky.J.
INFORMATIONS COMPLEMENTAIRES :
-> Abonnement
gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
-> Identifier
les fausses alertes virus avec Hoaxkiller.fr
-> FAQ
: des dizaines de messages infectés envahissent ma boîte aux
lettres. Mon ordinateur est-il contaminé? Comment arrêter
ça?
-> FAQ
: une alerte m'indique qu'un virus a été trouvé dans un message
que j'ai envoyé. Mon ordinateur est-il infecté?
-> FAQ : comment
désinfecter le répertoire C:\RESTORE?
-> FAQ
: que faire dans le cas d'un fichier "uncleanable"
(non nettoyable)?
-> FAQ
: comment supprimer un fichier en cours d'utilisation?
-> FAQ
: qu'est-ce que le partage de fichiers et comment y mettre
fin?
-> Dossier
Secuser.com sur les virus
|