Blackmal.E est un virus qui se propage par courrier
électronique et via les partages réseau. Il se
présente sous la forme d'un message dont le titre et
le corps sont aléatoires, accompagné d'un fichier
joint dont l'extension est variable (95 à 135 Ko), en
tentant de se faire passer pour une image ou un document à
voir. Si ce fichier est exécuté, le virus tente
de supprimer ou désactiver certains antivirus et logiciels
de sécurité, puis il s'envoie en masse à
des adresses récoltées sur le disque dur. Le 3
de chaque mois, il efface certains fichiers.
|
PREVENTION :
Les utilisateurs concernés doivent mettre à
jour leur antivirus. Les
utilisateurs de Windows doivent également supprimer
les partages de ressources inutiles et protéger
les autres par mot de passe afin de prévenir toute
propagation du virus et plus généralement tout
accès malveillant.
DESINFECTION :
Avant de commencer la désinfection, il est impératif
de s'assurer avoir appliqué les mesures préventives
ci-dessus pour éviter la réinfection de l'ordinateur.
Les utilisateurs ne disposant pas d'un antivirus peuvent utiliser
l'utilitaire
de désinfection FixBmalE pour rechercher et éliminer
le virus.
|
|
TYPE :
Ver
SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003
ALIAS :
W32/Kapser.A@mm (Authentium)
Win32:VB-CD (Avast)
Win32:VB-CD2 (Avast)
Win32.Blackmal.F (CA)
W32/Kapser.A@mm (F-Prot)
VB.bi (F-Secure)
Nyxem.E (F-Secure)
W32/MyWife.d@MM (McAfee)
W32/Tearec.A.worm (Panda Software)
W32/Nyxem-D (Sophos)
W32.Blackmal.E@mm (Symantec)
WORM_GREW.A (Trend Micro)
Kama Sutra Worm
Kamasutra
CME-24
TAILLE :
de 95 à 135 Ko
DECOUVERTE :
17/01/2006
DESCRIPTION DETAILLEE :
Le virus Blackmal.E se présente sous la forme d'un
message dont le titre, le corps et le nom du fichier joint
sont aléatoires Les titres de message :
- *Hot Movie*
- A Great Video
- Arab sex DSC-00465.jpg
- eBook.pdf
- Fw:
- Fw: DSC-00465.jpg
- Fw: Funny :)
- Fw: Picturs
- Fw: Real show
- Fw: SeX.mpg
- Fw: Sexy
- Fwd: Crazy illegal Sex!
- Fwd: image.jpg
- Fwd: Photo
- give me a kiss
- Miss Lebanon 2006
- My photos
- Part 1 of 6 Video clipe
- Photos
- Re:
- School girl fantasies gone bad
- Word file
Le corps du message est un court texte en anglais destiné
à inciter l'internaute à ouvrir le fichier joint
:
- Note: forwarded message attached.
- You Must View This Videoclip!
- >> forwarded message
- Re: Sex Video
- i just any one see my photos.
- It's Free :)
- The Best Videoclip Ever
- Hot XXX Yahoo Groups
- Fuckin Kama Sutra pics
- ready to be FUCKED ;)
- forwarded message attached.
- VIDEOS! FREE! (US$ 0,00)
- What?
- i send the file.
- Helloi attached the details.
- Thank you
- the file i send the details
- hello,
- Please see the file.
- how are you?
- i send the details.
La pièce jointe est généralement un
fichier exécutable possédant un nom aléatoire
et une extension variable (de 95 à 135 Ko), tentant
de se faire passer pour une image ou un document attrayant
:
- 007.pif
- 392315089702606E-02,.scR
- 677.pif
- Adults_9,zip.sCR
- ATT01.zip.sCR
- Attachments[001],B64.sCr
- Clipe,zip.sCr
- document.pif
- DSC-00465.Pif
- DSC-00465.pIf
- eBook.PIF
- image04.pif
- New Video,zip
- New_Document_file.pif
- photo.pif
- Photos,zip.sCR
- School.pif
- SeX,zip.scR
- WinZip,zip.scR
- WinZip.BHX
- WinZip.zip.sCR
- Word XP.zip.sCR
- Word.zip.sCR
- 04.pif
- DSC-00465.Pif
- DSC-00465.pIf
- image04.pif
Elle peut également être un fichier MIME contenant
un fichier exécutable :
- 3.92315089702606E02.UUE
- Attachments[001].B64
- Attachments00.HQX
- Attachments001.BHX
- eBook.Uu
- Original Message.B64
- Sex.mim
- SeX.mim
- Video_part.mim
- WinZip.BHX
- Word_Document.hqx
- Word_Document.uu
Si ce fichier est exécuté, le virus se copie
dans le répertoire Windows sous le nom Rundll16.exe
et dans le répertoire System sous les noms scanregw.exe,
Winzip.exe, Update.exe, WINZIP_TMP.EXE, SAMPLE.ZIP et New
WinZip File.exe, puis il modifie la base de registres afin
d'être exécuté à chaque démarrage
de l'ordinateur, tente de supprimer ou désactiver certains
antivirus et logiciels de sécurité (dont Symantec,
Mc Afee, Trend Micro, Kaspersky, avast! et AVG), puis il s'envoie
automatiquement aux adresses électroniques figurant
dans le carnet d'adresses Windows et divers autres fichiers
du disque dur, en utilisant une adresse d'expéditeur
usurpée ou falsifiée. Il tente enfin de se propager
via les partages réseau sous le nom WINZIP_TMP.EXE.
S'il est exécuté le 3ème jour de chaque
mois, le virus supprime tous les fichiers comportant une extension
.doc, .xls, .mdb, .mde, .ppt, .pps, .zip, .rar, .pdf, .psd
et .dmp en remplaçant leur contenu par "DATA Error
[47 0F 94 93 F4 K5]".
INFORMATIONS COMPLEMENTAIRES :
-> Abonnement
gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
-> Identifier
les fausses alertes virus avec Hoaxkiller.fr
-> FAQ
: des dizaines de messages infectés envahissent ma boîte aux
lettres. Mon ordinateur est-il contaminé? Comment arrêter
ça?
-> FAQ
: une alerte m'indique qu'un virus a été trouvé dans un message
que j'ai envoyé. Mon ordinateur est-il infecté?
-> FAQ : comment
désinfecter le répertoire C:\RESTORE?
-> FAQ
: que faire dans le cas d'un fichier "uncleanable"
(non nettoyable)?
-> FAQ
: comment supprimer un fichier en cours d'utilisation?
-> FAQ
: qu'est-ce que le partage de fichiers et comment y mettre
fin?
-> Dossier
Secuser.com sur les virus
|
