Kelvir.AZ est un virus qui se propage via le
logiciel de messagerie instantanée MSN Messenger. Il
se présente sous la forme d'un lien http://[divers].templates4friends.com/gallery.php?email=[login]@hotmail.com,
prétendument envoyé par un contact. Si le destinataire
clique sur ce lien hypertexte, il se voit proposer le téléchargement
et/ou l'exécution d'un fichier [login]@hotmail.com, qui
n'est pas une adresse de messagerie mais un fichier exécutable
en .COM (105 Ko). Lorsque ce fichier est exécuté,
le virus s'installe, s'envoie à tous les contacts MSN,
tente d'installer un autre virus qui autorise la prise de contrôle
à distance de l'ordinateur, puis désactive les
principaux antivirus et logiciels de sécurité
éventuellement installés.
|
PREVENTION :
Les utilisateurs concernés doivent mettre à jour
leur antivirus. D'une manière générale, même si son
nom est intriguant ou attrayant il ne faut pas exécuter
un fichier douteux sans avoir fait confirmer son envoi
par l'expéditeur puis l'avoir analysé avec un antivirus
à jour.
DESINFECTION :
Avant de commencer la désinfection, il est impératif
de s'assurer avoir appliqué les mesures préventives
ci-dessus afin d'empêcher toute réinfection
de l'ordinateur par le virus. Les
utilisateurs ne disposant pas d'un antivirus peuvent
utiliser gratuitement l'antivirus
gratuit en ligne pour rechercher et éliminer
le virus.
|
TYPE :
Ver
SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003
ALIAS :
W32.Kelvir.AZ (Symantec)
W32.Spybot.OFN (Symantec)
Kelvir-AZ
TAILLE :
104.960 octets
DECOUVERTE :
29/04/2005
DESCRIPTION DETAILLEE :
Le virus Kelvir.AZ se propage via le logiciel de messagerie
instantanée Microsoft MSN Messenger. Il se présente
sous la forme d'un message prétendument envoyé
par un contact MSN, contenant un lien de la forme http://[divers].templates4friends.com/gallery.php?email=[login]@hotmail.com,
précédé d'un court message en anglais
dont "lol you'll like this".
Si le destinataire clique sur le lien hypertexte, il se voit
proposer le téléchargement et/ou l'exécution
d'un fichier [login]@hotmail.com, qui n'est pas une adresse
de messagerie mais un fichier exécutable en .COM. Lorsque
ce fichier est exécuté, le virus s'installe,
le virus s'envoie à tous les contacts MSN sous la forme
d'un court message contenant un lien vers le fichier viral
à télécharger, tente de télécharger
et d'installer une variante du virus
Spybot (W32.Spybot.OFN) autorisant la prise de contrôle
à distance de l'ordinateur par un individu malveillant,
puis tente de désactiver les principaux antivirus et
logiciels de sécurité éventuellement
installés sur l'ordinateur.
30/04/05 : suite à notre intervention, la page
web utilisée pour provoquer le téléchargement
du virus a été supprimée par le propriétaire
du serveur, qui a vraisemblablement été victime
d'un piratage de la part de l'auteur du virus. Les utilisateurs
doivent néanmoins rester particulièrement vigilants
vis-à-vis des liens hypertextes contenus dans les messages,
car l'auteur du virus s'est engagé dans une stratégie
de multiplication des variantes qui même si elles ne
connaissent pas toutes une propagation importante risquent
d'atteindre ponctuellement l'utilisateur dont un contact se
serait laissé piéger.
INFORMATIONS COMPLEMENTAIRES :
-> Abonnement
gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
-> Identifier
les fausses alertes virus avec Hoaxkiller.fr
-> FAQ
: des dizaines de messages infectés envahissent ma boîte aux
lettres. Mon ordinateur est-il contaminé? Comment arrêter
ça?
-> FAQ
: une alerte m'indique qu'un virus a été trouvé dans un message
que j'ai envoyé. Mon ordinateur est-il infecté?
-> FAQ : comment
désinfecter le répertoire C:\RESTORE?
-> FAQ
: que faire dans le cas d'un fichier "uncleanable"
(non nettoyable)?
-> FAQ
: comment supprimer un fichier en cours d'utilisation?
-> FAQ
: qu'est-ce que le partage de fichiers et comment y mettre
fin?
-> Dossier
Secuser.com sur les virus
|
