Nyxem.C est un virus qui se propage par email
et les partages réseau. Il se présente sous la
forme d'un message dont le titre et le corps sont aléatoires,
avec un fichier joint dont l'extension est .GZ, .PIF, .SCR,
.TGZ, .Z ou .ZIP (environ 70 Ko), éventuellement accompagné
d'une image .JPG. Si le fichier est exécuté, le
virus ouvre l'application Windows Media Player et tente de désactiver
certains antivirus et logiciels de sécurité. Nyxem.C
est censé s'envoyer massivement aux adresses présentes
dans le carnet d'adresses Windows ainsi que divers autres fichiers
du disque dur, mais du fait d'un bogue dans son code la propagation
effective est des plus limitées.
PREVENTION :
Les utilisateurs concernés doivent mettre
à jour leur antivirus. D'une manière générale,
même si son nom est attrayant il ne faut pas exécuter
un fichier joint sans l'avoir au préalable analysé avec
un antivirus à jour. Il faut également supprimer
les partages de ressources inutiles et protéger
les autres par mot de passe afin de prévenir
toute propagation du virus.
DESINFECTION :
Avant de commencer la désinfection, il est impératif
de s'assurer avoir appliqué les mesures préventives
ci-dessus afin d'empêcher toute réinfection
de l'ordinateur par le virus. Les
utilisateurs ne disposant pas d'un antivirus peuvent
utiliser gratuitement l'antivirus
gratuit en ligne pour rechercher et éliminer
le virus.
|
TYPE :
Ver
SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003
ALIAS :
Win32.Nyxem.C (BitDefender)
Win32.Blackmal.C (CA)
Win32.Blackmal.D (CA)
Worm.Nyxem.C (ClamWin)
Nyxem.D (F-Secure)
I-Worm.Nyxem.d (Kaspersky)
W32/MyWife.c@MM (McAfee)
W32/Mywife.C.worm (Panda Software)
W32/Mywife.D.worm (Panda Software)
W32/Nyxem-C (Sophos)
W32.Blackmal.C@mm (Symantec)
WORM_BLUEWORM.C (Trend Micro)
WORM_BLUEWORM.D (Trend Micro)
WORM_BLUEWORM.F (Trend Micro)
NewWife
BlackWorm.C
TAILLE :
72.874 ou 71.288 octets
DECOUVERTE :
06/09/2004
DESCRIPTION DETAILLEE :
Le virus Nyxem.C se présente sous la forme d'un
message dont le titre, le corps et le nom du fichier joint
sont aléatoires Les titres de message :
- For all
- Hello
- Please reactive now.
- Thanks
- Update
- Please reactive now
- Thank you
- please reactive
- [vide]
Le corps du message est un court texte en anglais destiné
à inciter l'internaute à ouvrir le fichier joint,
dont notamment :
- see the movie
- see the attached
- how are you?
- see the file
- video
- enjoy
La pièce jointe possède un nom aléatoire
et une extension en .GZ, .PIF, .SCR, .TGZ, .Z ou .ZIP (environ
70 Ko) et est parfois accompagné d'une image en .JPG
(8 Ko) à caractère pornographique. Si le fichier
joint est exécuté, le virus ouvre l'application
Windows Media Player, se copie en plusieurs exemplaires et
dans plusieurs dossiers du disque dur, modifie la base de
registres pour être exécuté à chaque
démarrage de l'ordinateur, puis tente de désactiver
certains antivirus (notamment Symantec, Mc Afee, Trend Micro
et Kaspersky) et logiciels de sécurité ainsi
que certains virus. Il tente enfin de se propager via les
partages réseau en se copiant sous les noms :
- Good music.scr
- Beethoven's Symphony No [...]
- New_Stories HighwayBlues [...]
Nyxem.C est censé s'envoyer massivement aux adresses
présentes dans le carnet d'adresses Windows ainsi que
divers autres fichiers du disque dur, mais du fait d'un bogue
dans son code la propagation effective est des plus limitées.
Cette fiche a été publiée uniquement
à titre d'information voire de rectification suite
à la publication d'articles sur ce virus dans la presse
web.
INFORMATIONS COMPLEMENTAIRES :
-> Abonnement
gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
-> Identifier
les fausses alertes virus avec Hoaxkiller.fr
-> FAQ
: des dizaines de messages infectés envahissent ma boîte aux
lettres. Mon ordinateur est-il contaminé? Comment arrêter
ça?
-> FAQ
: une alerte m'indique qu'un virus a été trouvé dans un message
que j'ai envoyé. Mon ordinateur est-il infecté?
-> FAQ : comment
désinfecter le répertoire C:\RESTORE?
-> FAQ
: que faire dans le cas d'un fichier "uncleanable"
(non nettoyable)?
-> FAQ
: comment supprimer un fichier en cours d'utilisation?
-> FAQ
: qu'est-ce que le partage de fichiers et comment y mettre
fin?
-> Dossier
Secuser.com sur les virus
|