Mydoom.AS est un virus qui se propage par courriel
et via les réseaux de partage de fichiers. Il se présente
sous la forme d'un message dont le titre et le corps sont aléatoires,
avec un fichier joint dont l'extension est .bat, .cmd, .exe,
.pif, .scr ou .zip (33 Ko). Si ce fichier est exécuté,
le virus s'envoie aux adresses figurant dans le carnet d'adresses
Windows et divers fichiers, installe une porte dérobée
autorisant la prise de contrôle à distance de l'ordinateur
infecté, modifie le système pour empêcher
l'utilisateur de mettre à jour son antivirus puis tente
de se copier dans les dossiers mis en partage.
PREVENTION :
Les utilisateurs concernés doivent mettre à jour
leur antivirus. D'une manière générale, même si son
nom est intriguant ou attrayant il ne faut pas exécuter
un fichier joint douteux sans avoir fait confirmer son
envoi par l'expéditeur puis l'avoir analysé avec un
antivirus à jour.
DESINFECTION :
Avant de commencer la désinfection, il est impératif
de s'assurer avoir appliqué les mesures préventives
ci-dessus afin d'empêcher toute réinfection
de l'ordinateur par le virus. Les
utilisateurs ne disposant pas d'un antivirus peuvent
utiliser gratuitement l'antivirus
gratuit en ligne pour rechercher et éliminer
le virus.
|
TYPE :
Ver
SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003
ALIAS :
Win32:Mydoom-AL (Avast)
Win32/Mydoom.AS (Eset)
Email-Worm.Win32.Mydoom.ak (Kaspersky)
W32/Mydoom.ba@MM (Mc Afee)
W32/Mydoom.AI.worm (Panda Software)
W32/MyDoom-AO (Sophos)
W32.Mydoom.AS@mm (Symantec)
WORM_MYDOOM.AR (Trend Micro)
TAILLE :
33.792 octets
DECOUVERTE :
09/02/05
DESCRIPTION DETAILLEE :
Mydoom.AS se présente sous la forme d'un message
dont le titre, le corps et le nom du fichier joint sont aléatoires
Quelques titres de messages :
- Attention!!!
- Do not reply to this email
- Error
- Good day
- hello
- Mail Delivery System
- Mail Transaction Failed
- Server Report
- Status
- hello
- [aucun]
Le corps du message est très variable. Quelques exemples
:
- Are you a spammer? (I found your email on a spammer website!?!)
- Encrypted message is available.
- Thank you for registering at WORLDXXXPASS.COM
All your payment info, login and password you can find in
the attachment file.
It's a real good choise to go to WORLDXXXPASS.COM
- You have visited illegal websites.
I have a big list of the websites you surfed.
- You think it's funny? You are stupid idiot!!! I'll send
the attachment to your ISP and then I'll be watching how
you will go to jail, punk!!!
- Can you confirm it?
- Do not visit these sites!!!
- Attention! New self-spreading virus!
Be careful, a new self-spreading virus called "RTSW.Smash"
spreading very fast via e-mail and P2P networks. It's about
two million people infected and it will be more.
To avoid your infection by this virus and to stop it we
provide you with full information how to protect yourself
against it and also including free remover. Your can find
it in the attachment.
© 2004 Networks Associates Technology, Inc. All Rights Reserved
- The message cannot be represented in 7-bit ASCII encoding
and has been sent as a binary attachment.
- Binary message is available.
- ESMTP [Secure Mail System #334]: Secure message is attached.
- The message contains Unicode characters and has been sent
as a binary attachment.
- Bad Gateway: The message has been attached.
- Your credit card was charged for $500 USD. For additional
information see the attachment
- Attention! Your IP was logged by The Internet Fraud Complaint
Center
Your IP was logged by The Internet Fraud Complaint Center.
There was a fraud attempt logged by The Internet Fraud Complaint
Center from your IP. This is a serious crime, so all records
was sent to the FBI.
All information you can find in the attachment. Your IP
was flagged and if there will be anover attemption you will
be busted.
This message is brought to you by the Federal Bureau of
Investigation and the National White Collar Crime Center
- Mail transaction failed. Partial message is available.
- New terms and conditions for credit card holders
Here a new terms and conditions for credit card holders
using a credit cards for making purchase in the Internet
in the attachment. Please, read it carefully. If you are
not agree with new terms and conditions do not use your
credit card in the World Wide Web.
Thank you,
The World Bank Group
© 2004 The World Bank Group, All Rights Reserved
- [série de caractères aléatoires]
- [aucun]
La pièce jointe possède une extension en .BAT,
.CMD, .EXE, .PIF, .SCR ou .ZIP et un nom aléatoire
:
- body
- message
- docs
- data
- file
- rules
- doc
- readme
- document
- [série de lettres aléatoires]
Si ce fichier est exécuté, le virus s'envoie
aux adresses figurant dans le carnet d'adresses Windows et
divers autres fichiers, installe une porte dérobée
autorisant la prise de contrôle à distance de
l'ordinateur infecté par un individu malveillant, modifie
le fichier Hosts de Windows pour empêcher l'utilisateur
d'accéder aux sites web des principaux éditeurs
d'antivirus, puis tente de se copier dans les dossiers mis
en partage via les logiciels P2P Kazaa, Morpheus, iMesh, eDonkey
ou LimeWire sous les noms :
- porno
- NeroBROM6.3.1.27
- avpprokey
- Ad-awareref01R349
- winxp_patch
- adultpasswds
- dcom_patches
- K-LiteCodecPack2.34a
- activation_crack
- icq2004-final
- winamp5
INFORMATIONS COMPLEMENTAIRES :
-> Abonnement
gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
-> Identifier
les fausses alertes virus avec Hoaxkiller.fr
-> FAQ
: des dizaines de messages infectés envahissent ma boîte aux
lettres. Mon ordinateur est-il contaminé? Comment arrêter
ça?
-> FAQ
: une alerte m'indique qu'un virus a été trouvé dans un message
que j'ai envoyé. Mon ordinateur est-il infecté?
-> FAQ : comment
désinfecter le répertoire C:\RESTORE?
-> FAQ
: que faire dans le cas d'un fichier "uncleanable"
(non nettoyable)?
-> FAQ
: comment supprimer un fichier en cours d'utilisation?
-> FAQ
: qu'est-ce que le partage de fichiers et comment y mettre
fin?
-> Dossier
Secuser.com sur les virus
|