Troyen
Agent.AF (= Storm Worm)

PREVENTION : Les utilisateurs concernés doivent mettre à jour leur antivirus. Les utilisateurs de Windows doivent également à mettre à jour leurs logiciels afin de corriger les failles de sécurité exploitables par Agent.AF et ses variantes pour s'installer automatiquement. DESINFECTION : Avant de commencer la désinfection, il est impératif de s'assurer avoir appliqué les mesures préventives ci-dessus pour éviter la réinfection de l'ordinateur. Les utilisateurs ne disposant pas d'un antivirus peuvent utiliser l'antivirus gratuit en ligne pour rechercher et supprimer Agent.AF et ses variantes.

TYPE :
Troyen

SYSTEME(S) CONCERNE(S) :
Windows

ALIAS :
SPR/Spam.Agent.AF.9 (Antivir)
Downloader.Tibs.5.BI (AVG)
Trojan.Peed.HXN (BitDefender)
Trojan.Small-2718 (ClamAV)
Trojan.Packed.140 (Dr.Web)
W32/Tibs.TU (F-Prot)
SpamTool.Win32.Agent.af (Kaspersky)
Downloader-ASH.gen (McAfee)
W32/Zhelatin.gen!eml (Mc Afee)
Spammer:Win32/Agent.AA (Microsoft)
Tibs.gen118 (Norman)
Trj/Downloader.MDW (Panda)
Mal/EncPk-Q (Sophos)
Trojan.Packed.13 (Symantec)
Trojan.Peacomm.C (Symantec)
WORM_NUWAR.GU (Trend Micro)
Storm Worm

TAILLE :
8 Ko

DECOUVERTE :
22/06/2007

DESCRIPTION DETAILLEE :
Agent.AF est un programme malicieux de type cheval de Troie, c'est-à-dire un programme hostile incapable de se multiplier et de se propager par lui-même contrairement aux virus. Il peut cependant arriver en pièce jointe d'un courrier électronique car son auteur utilise la technique du spamming pour le diffuser.

Il se présente sous la forme d'un courrier électronique en anglais prétendument envoyé de la part d'un proche depuis un site web de cartes postales électroniques de Hong Kong (nom de domaine avec une extension en .hk) et invitant le destinataire à cliquer sur un lien hypertexte afin de découvrir le message reçu :

Si l'utilisateur clique sur un des liens proposés, il est renvoyé vers une page web doublement piégée. Elle tente en effet d'exploiter plusieurs failles de sécurité via le navigateur (QuickTime, Winzip et Microsoft WebViewFolderIcon) pour exécuter du code malveillant automatiquement et sous prétexte d'une nouvelle fonctionnalité propose de télécharger un fichier ecard.exe, qui se trouve être malicieux et non encore détecté par tous les antivirus :

Si ce fichier est exécuté, le cheval de Troie s'installe et permet la prise de contrôle à distance de l'ordinateur contaminé par une personne malveillante, constituant un gigantesque réseau de PC "zombies".

23/06/07 : diffusion d'une nouvelle variante du cheval de Troie (9 Ko) selon le même scénario mais via un autre site web (http://rs****.hk). Cette variante est identifiée sous les noms WORM/Zhelatin.Gen (Antivir), Downloader.Tibs.5.BI (AVG), Trojan.Peed.HXR.Gen (BitDefender), Trojan.Small-2719 (ClamAV), Trojan.Packed.140 (Dr.Web), Email-Worm.Win32.Zhelatin.fa (F-Secure), Email-Worm.Win32.Zhelatin.fa (Kaspersky), Win32/TrojanDownloader.Small.AVT (NOD32), OScope.Worm.UK.Nuwar (VBA32).

24/06/07 : diffusion de la même variante que 23/06/06 mais via un autre site web (http://zz****.hk).

25/06/07 : diffusion d'une nouvelle variante du cheval de Troie (8 Ko) selon le même scénario mais via plusieurs autres sites web (http://sm****.hk et http://gr****.hk). Cette variante est identifiée sous les noms TR/Small.DBY.DF (Antivir), Downloader.Tibs.5.BI (AVG), Trojan.Peed.HXX (BitDefender), Trojan.Packed.141 (Dr.Web), Trojan-Downloader.Win32.Tibs.ll (F-Secure), Trojan-Downloader.Win32.Tibs.ll (Kaspersky).

26/06/07 : diffusion d'une nouvelle variante du cheval de Troie (8 Ko) selon le même scénario mais via plusieurs autres sites web (http://ca*****.hk et http://no***.hk). Cette variante est identifiée sous les noms TR/Small.DBY.DH (Antivir), Downloader.Tibs.5.BI (AVG), Trojan.Peed.HYB (BitDefender), Trojan.Packed.142 (Dr.Web).

28/06/07 07h30 : diffusion d'une nouvelle variante du cheval de Troie (131 Ko) selon le même scénario mais via plusieurs autres sites web (http://cu*****.hk et http://fl***.hk). Cette variante est identifiée sous les noms TR/Small.DBY.DB (Antivir), Trojan.Packed.145 (Dr.Web), Trojan-Downloader.Win32.Tibs.mn (F-Secure), Trojan-Downloader.Win32.Tibs.mn (Kaspersky), Tibs.gen108 (Norman).

28/06/07 15h00 : diffusion d'une variante du cheval de Troie selon un scénario similaire, à la différence que le nom d'expéditeur apparent n'est plus un domaine en .hk mais Postcard.com (nom usurpé associé à une adresse en .com différente) et que le lien à cliquer est une adresse IP (de la forme http://XXX.XXX.XXX.XXX, X étant un nombre).

29/06/07 : diffusion de la même variante du cheval de Troie (131 Ko) selon un scénario similaire à celui du 28/06/07 15h00, l'expéditeur apparent étant cette fois egreetings.com (nom usurpé associé à une adresse différente). Cette variante est désormais identifiée sous les noms Virus.Win32.KME par F-Secure et Kaspersky.

30/06/07 : diffusion d'une variante du cheval de Troie (131 Ko) selon un scénario similaire mais avec un titre de message variable. Le titre du courrier électronique est variable, dont notamment :

• You've received a postcard from a family member!
• You've received a greeting postcard from a worshipper!
• You've received a greeting ecard from a partner!
• You've received a greeting ecard from a friend!
• You've received a greeting card from a colleague!
• You've received an ecard from a class mate!
• You've received a greeting card from a school friend!
• You've received a greeting ecard from a neighbour!

Le nom d'expéditeur apparent est également variable (egreetings.Com, vintagepostcards.com, E-Cards.Com, funnypostcard.com, Postcard.com, 123greetings.com, bluemountain.com, greetingCard.Org, riversongs.com, AmericanGreetings.Com, etc.). Cette variante est identifiée sous les noms TR/Small.DBY.DB (Antivir), Win32:Tibs-AZF (Avast), Trojan.Peed.ON (BitDefender), Trojan.Small-2885 (ClamAV), Trojan.Packed.142 (Dr.Web), Trojan-Downloader.Win32.Tibs.mq (F-Secure), Trojan-Downloader.Win32.Tibs.mq (Kaspersky).

03/07/07 : diffusion d'une variante du cheval de Troie (131 Ko) selon un scénario similaire mais dédié à la fête nationale américaine du 4 juillet. Le titre du courrier électronique est variable, dont notamment :

• American Pride, On The 4th
• Fireworks on The 4th
• Celebrate Your Nation
• Happy Birthday America
• July 4th B-B-Q Party
• Independence Day Party
• Fourth of July Party
• July 4th Family Day
• Celebrate Your Independence
• 4th Of July Celebration
• America's 231st Birthday
• Happy 4th of July

Le nom d'expéditeur apparent est également variable (postcardsfrom.com, greetingcard.org, GreetingCards.Com, netfuncards.com, egreetings.com, freewebcards.com, 2000greetings.com, bluemountain.com, Hallmark.Com, mypostcards.com, dgreetings.Com, Postcard.com, americangreetings.com, etc.) et usurpé. Par rapport aux précédentes variantes, le texte du message a été simplifié :

Il ne faut pas cliquer sur lien hypertexte contenu dans le message : ce dernier pointe toujours vers une page web piégée exploitant plusieurs failles pour tenter d'infecter automatiquement l'ordinateur des internautes non à jour dans leurs correctifs de sécurité et incitant le visiteur à télécharger un fichier ecard.exe qui se trouve être malicieux. Cette variante est identifiée sous les noms TR/Small.DBY.DB (Antivir), Win32:Tibs-AZI (Avast), Downloader.Tibs.6.H (AVG), Trojan.Peed.OO (BitDefender), Trojan.Small-2886 (ClamAV), Trojan.Packed.148 (Dr.Web), Packed.Win32.Tibs.ap (F-Secure), Packed.Win32.Tibs.ap/Email-Worm.Win32.Zhelatin.fm (Kaspersky), W32/Nuwar@MM (McAfee), Win32/Fuclip (NOD32), Mal/Dorf-C (Sophos), Trojan.Packed.13 (Symantec).

05/07/07 : diffusion d'une nouvelle variante du cheval de Troie (131 Ko) selon un scénario similaire, reprenant les titres de message et noms d'expéditeur apparents du 30/06/07 et le corps de message simplifié du 03/07/07 :

Cette variante est identifiée sous les noms TR/Small.DBY.DB (Antivir), Win32:Tibs-AZJ (Avast), Trojan.Peed.HYR (BitDefender), Trojan.Small-2911 (ClamAV), Trojan.Packed.142 (Dr.Web), Win32/Sintun (eTrust), Email-Worm.Win32.Zhelatin.fm (F-Secure), Email-Worm.Win32.Zhelatin.fm (Kaspersky), W32/Nuwar@MM (McAfee).

06/07/07 : diffusion d'une nouvelle variante du cheval de Troie (131 Ko) selon le même scénario que 05/07/07. Cette variante est identifiée sous les noms TR/Small.DBY.DB (Antivir), Downloader.Tibs.6.K (AVG), Trojan.Peed.HYW (BitDefender), Trojan.Small-2911 (ClamAV), Trojan.Packed.142 (Dr.Web), Packed.Win32.Tibs.ab (F-Secure), Packed.Win32.Tibs.ab (Kaspersky), Win32/Fuclip (NOD32), Tibs.gen124 (Norman), Mal/Dorf-A (Sophos).

09/07/07 : diffusion d'une variante du cheval de Troie (132 Ko) selon un nouveau scénario. Le courrier électronique malicieux se présente sans pièce jointe. Le titre du message est variable, dont notamment :

• Worm Alert!
• Trojan Detected!
• Virus Detected!
• Malware Alert!
• Worm Activity Detected!
• Warning!

Le nom d'expéditeur apparent est également variable (Customer Support, Administrator, Customer Support Center Robot, Support Team, Customer Support Robot, Support Team Robot, Mailer-Deamon, etc.) et usurpé. Le message informe le destinataire qu'un faux problème de sécurité affecte son ordinateur pour l'inciter à cliquer sur un lien :

Si l'utilisateur clique sur le lien proposé, il est renvoyé vers une page web piégée qui tente d'exploiter plusieurs failles de sécurité via le navigateur pour exécuter automatiquement du code malveillant et qui propose à l'internaute de télécharger un fichier patch.exe, qui se trouve être malicieux et non encore détecté par tous les antivirus :

Cette variante est identifiée sous les noms TR/Small.DBY.DB (Antivir), Win32:Tibs-BAC (Avast), Downloader.Tibs.6.K (AVG), Trojan.Peed.OQ (BitDefender), Trojan.Small-2911 (ClamAV), Trojan.Packed.142 (Dr.Web), Win32/Sintun (eTrust), Packed.Win32.Tibs.ab (F-Secure), Packed.Win32.Tibs.ab (Kaspersky), W32/Nuwar@MM (McAfee), Tibs.gen124 (Norman), Mal/Dorf-A (Sophos), Trojan.Packed.13 (Symantec).

10/07/07 : diffusion de la même variante que 09/07/07 (132 Ko) correspondant à un faux correctif de sécurité patch.exe mais en utilisant un nouveau modèle de courrier électronique encore davantage simplifié se présentant comme une carte postale électronique, probablement suite à un bogue ou à un défaut de coordination :

Cette variante est toujours identifiée sous les noms TR/Small.DBY.DB (Antivir), Win32:Tibs-BAC (Avast), Downloader.Tibs.6.K (AVG), Trojan.Peed.OQ (BitDefender), Trojan.Small-2911 (ClamAV), Trojan.Packed.142 (Dr.Web), Win32/Sintun (eTrust), Packed.Win32.Tibs.ab (F-Secure/Kaspersky), W32/Nuwar@MM (McAfee), Win32/Nuwar.JT (Microsoft), Tibs.gen124 (Norman), Mal/Dorf-A (Sophos), Trojan.Packed.13 (Symantec).

11/07/07 : diffusion de la même variante que 10/07/07 (132 Ko). Le message est identique, le texte de la page web piégée est toujours celui utilisé lors du scénario de la fausse alerte sécurité mais le nom du fichier infecté a été corrigé et changé en ecard.exe. Cette variante est toujours identifiée sous les noms TR/Small.DBY.DB (Antivir), Trojan.Peed.OQ (BitDefender), Trojan.Packed.142 (Dr.Web), Packed.Win32.Tibs.ab (F-Secure/Kaspersky), Win32/Nuwar.JT (Microsoft), Mal/Dorf-A (Sophos), Trojan.Packed.13 (Symantec).

15/07/07 : diffusion d'une nouvelle variante du cheval de Troie (136 Ko) selon le même scénario que 11/07/07. Cette variante est identifiée sous les noms TR/Small.DBY.DB (Antivir), Downloader.Tibs.6.AE (AVG), Trojan.Peed.HZW (BitDefender), Trojan.Packed.142 (Dr.Web), Win32/Sintun (eTrust), Email-Worm.Win32.Zhelatin.fu (F-Secure/Kaspersky), Win32/Tibs.O (Microsoft), Mal/Dorf-A (Sophos), Trojan.Packed.13 (Symantec).

16/07/07 : diffusion d'une nouvelle variante du cheval de Troie (136 Ko) selon le même scénario que 11/07/07. Cette variante est identifiée sous les noms TR/Small.DBY.DB (Antivir), Trojan.Peed.HZZ (BitDefender), Trojan.Small-3151 (ClamAV), Trojan.Packed.142 (Dr.Web), Win32/Sintun (eTrust), Packed.Win32.Tibs.at (Kaspersky), Win32/Tibs.O (Microsoft), Mal/Dorf-A (Sophos), Trojan.Packed.13 (Symantec).

18/07/07 : diffusion d'une nouvelle variante du cheval de Troie (161 Ko), toujours selon le même scénario que 11/07/07. Cette variante est identifiée sous les noms TR/Small.DBY.DB (Antivir), Win32:Tibs-AZX (Avast), Generic5.OPU (AVG), Trojan.Peed.HZV (BitDefender), Trojan.Small-3153 (ClamAV), Trojan.SpamBug (Dr.Web), Win32/Pecoan (eTrust), Packed.Win32.Tibs.ap (F-Secure/Kaspersky), Win32/Tibs.P (Microsoft), Win32/Fuclip.AR (NOD32), W32/Tibs.AMQE (Norman), Trojan.Peacomm.B (Symantec).

19/07/07 : diffusion particulièrement massive d'une nouvelle variante du cheval de Troie (136 Ko), selon le même scénario que 11/07/07. Cette variante est identifiée sous les noms WORM/Zhelatin.Gen (Antivir), Win32:Tibs-BBG (Avast), Trojan.Peed.IAM (BitDefender), Trojan.Small-3171 (ClamAV), Trojan.Packed.142 (Dr.Web), Win32/Sintun (eTrust), Packed.Win32.Tibs.aw (Kaspersky), Win32/Tibs.O (Microsoft), Win32/Nuwar.Gen (NOD32), W32/Tibs.AMQE (Norman), Mal/Dorf-A (Sophos), Trojan.Packed.13 (Symantec).

20/07/07 : diffusion d'une nouvelle variante du cheval de Troie (95 Ko), toujours selon le même scénario que 11/07/07. Cette variante est identifiée sous les noms TR/Crypt.XPACK.Gen (Antivir), Downloader.Tibs.6.T (AVG), Trojan.Peed.Gen (BitDefender), Trojan.Small-3186 (ClamAV), Trojan.Packed.142 (Dr.Web), Packed.Win32.Tibs.ap (Kaspersky), Win32/Nuwar.gen (Microsoft), Mal/EncPk-E (Sophos), Trojan.Packed.13 (Symantec).

21/07/07 : diffusion d'une nouvelle variante du cheval de Troie (95 Ko) selon le même scénario que 11/07/07. Cette variante est identifiée sous les noms TR/Crypt.XPACK.Gen (Antivir), Win32:Tibs-BBI (Avast), Downloader.Tibs.6.U (AVG), Trojan.Peed.IAN (BitDefender), Trojan-Downloader.Win32.Tibs.mr (F-Secure/Kaspersky), Win32/Nuwar.gen (Microsoft), Trojan.Packed.13 (Symantec).

22/07/07 : diffusion d'une nouvelle variante du cheval de Troie (96 Ko) selon le même scénario que 11/07/07. Cette variante est identifiée sous les noms TR/Crypt.XPACK.Gen (Antivir), Trojan.Peed.IAN (BitDefender), Trojan.Packed.142 (Dr.Web), Win32/Sinteri.BI (eTrust), Email-Worm.Win32.Zhelatin.fz (F-Secure/Kaspersky), Win32/Nuwar.gen (Microsoft), W32/Tibs.ANBP (Norman).

24/07/07 : diffusion particulièrement massive de la même variante du cheval de Troie (96 Ko) que 22/07/07. Cette variante est identifiée sous les noms TR/Crypt.XPACK.Gen (Antivir), Win32:Tibs-BBJ (Avast), Trojan.Peed.IAN (BitDefender), Trojan.Packed.142 (Dr.Web), Win32/Sintun.AB (eTrust), Email-Worm.Win32.Zhelatin.fz (F-Secure/Kaspersky), Win32/Nuwar.gen (Microsoft).

26/07/07 : diffusion d'une nouvelle variante du cheval de Troie (97 Ko). Cette variante est identifiée sous les noms WORM/Zhelatin.Gen (Antivir), Downloader.Tibs.6.U (AVG), Trojan.Peed.IBL (BitDefender), Win32/Sintun.AB (eTrust), Packed.Win32.Tibs.ay (Kaspersky), Win32/Nuwar.gen (Microsoft), Win32/Nuwar.Gen (NOD32), Mal/Dorf-A (Sophos), Trojan.Packed.13 (Symantec).

29/07/07 : diffusion d'une nouvelle variante du cheval de Troie (111 Ko). Cette variante est identifiée sous les noms WORM/Zhelatin.Gen (Antivir), Win32:Tibs-BCW (Avast), Downloader.Tibs.6.U (AVG), Trojan.Peed.IBY (BitDefender), Trojan.Packed.142 (Dr.Web), Trojan-Downloader.Win32.Tibs.mu (F-Secure/Kaspersky), Mal/Dorf-A (Sophos), Trojan.Packed.13 (Symantec).

30/07/07 : diffusion d'une nouvelle variante du cheval de Troie (111 Ko). Cette variante est identifiée sous les noms WORM/Zhelatin.Gen (Antivir), Win32:Tibs-BCZ (Avast), Downloader.Tibs.6.U (AVG), Trojan.Peed.ICB (BitDefender), Trojan.Small-3255 (ClamAV), Trojan.Packed.142 (Dr.Web), Win32/Sintun.AC (eTrust), Email-Worm.Win32.Zhelatin.ge (F-Secure/Kaspersky), Mal/Dorf-A (Sophos), Trojan.Packed.13 (Symantec).

31/07/07 : diffusion d'une nouvelle variante du cheval de Troie (111 Ko). Cette variante est identifiée sous les noms WORM/Zhelatin.Gen (Antivir), Win32:Tibs-BDA (Avast), Downloader.Tibs.6.AP (AVG), Trojan.Peed.ICE (BitDefender), Trojan.Small-3263 (ClamAV), Trojan.Packed.142 (Dr.Web), Win32/Sintun.AC (eTrust), Email-Worm.Win32.Zhelatin.gg (F-Secure/Kaspersky), Win32/Nuwar.WM (Microsoft), Mal/Dorf-A (Sophos), Trojan.Packed.13 (Symantec).

02/08/07 : diffusion d'une nouvelle variante du cheval de Troie (111 Ko). Cette variante est identifiée sous les noms WORM/Zhelatin.Gen (Antivir), Win32:Tibs-BDI (Avast), Downloader.Tibs.6.U (AVG), Trojan.Peed.HQP (BitDefender), Trojan.Packed.142 (Dr.Web), Win32/Sintun.AC (eTrust), Email-Worm.Win32.Zhelatin.gk (F-Secure/Kaspersky), Win32/Nuwar (NOD32), Tibs.gen126 (Norman), Mal/Dorf-A (Sophos), Trojan.Packed.13 (Symantec). Selon certaines sources, cette infection dite "Storm Worm" aurait déjà contaminé près de 2 millions d'ordinateurs.

03/08/07 : diffusion d'une nouvelle variante du cheval de Troie (111 Ko). Cette variante est identifiée sous les noms WORM/Zhelatin.Gen (Antivir), Downloader.Tibs.6.U (AVG), Trojan.Peed.ICG (BitDefender), Trojan.Packed.142 (Dr.Web), Win32/Sintun.AC (eTrust), Trojan-Downloader.Win32.Tibs.mv (/Kaspersky), Tibs.gen126 (Norman), Mal/Dorf-A (Sophos), Trojan.Packed.13 (Symantec).

04/08/07 : diffusion d'une nouvelle variante du cheval de Troie (111 Ko). Cette variante est identifiée sous les noms WORM/Zhelatin.Gen (Antivir), Win32:Tibs-BDR (Avast), Trojan.Peed.ICL (BitDefender), Trojan.Packed.161 (Dr.Web), Packed.Win32.Tibs.ba (Kaspersky), Win32/Nuwar (NOD32), Mal/Dorf-A (Sophos).

05/08/07 : diffusion d'une nouvelle variante du cheval de Troie (111 Ko). Cette variante est identifiée sous les noms WORM/Zhelatin.Gen (Antivir), Win32:Tibs-BDS (Avast), Downloader.Tibs.6.U (AVG), Trojan.Small-3347 (ClamAV), Trojan.Packed.142 (Dr.Web), Win32/Sintun.AD (eTrust), Email-Worm.Win32.Zhelatin.gm (F-Secure/Kaspersky), Win32/Nuwar (NOD32), Mal/Dorf-A (Sophos).

06/08/07 : diffusion d'une nouvelle variante du cheval de Troie (111 Ko). Cette variante est identifiée sous les noms WORM/Zhelatin.Gen (Antivir), Downloader.Tibs.6.U (AVG), Trojan.Tibs.CD (BitDefender), Trojan.Packed.142 (Dr.Web), Win32/Sintun.AD (eTrust), Email-Worm.Win32.Zhelatin.gn (Kaspersky), Mal/Dorf-A (Sophos), Trojan.Packed.13 (Symantec).

07/08/07 : diffusion d'une nouvelle variante du cheval de Troie (111 Ko). Cette variante est identifiée sous les noms WORM/Zhelatin.Gen (Antivir), Win32:Tibs-BEA (Avast), Downloader.Tibs.6.AW (AVG), Generic.Peed.DF43BFA9 (BitDefender), Trojan.Small-3358 (ClamAV), Trojan.Packed.142 (Dr.Web), Win32/Sintun.AD (eTrust), Packed.Win32.Tibs.bb (F-Secure/Kaspersky), Worm:Win32/Nuwar.WO (Microsoft), Win32/Nuwar.Gen (NOD32), Tibs.gen128 (Norman), Mal/Dorf-A (Sophos), Trojan.Packed.13 (Symantec).

08/08/07 : diffusion d'une variante mineure du cheval de Troie (111 Ko). Cette variante est identifiée sous les noms WORM/Zhelatin.Gen (Antivir), Win32:Tibs-BEA (Avast), Downloader.Tibs.6.AW (AVG), Trojan.Peed.IDH (BitDefender), Trojan.Small-3358 (ClamAV), Trojan.Packed.142 (Dr.Web), Win32/Sintun.AD (eTrust), Email-Worm.Win32.Zhelatin.gp (F-Secure/Kaspersky), Trojan:Win32/Tibs.S (Microsoft), Win32/Nuwar.Gen (NOD32), Tibs.gen128 (Norman), Mal/Dorf-A (Sophos), Trojan.Packed.13 (Symantec).

09/08/07 : diffusion d'une nouvelle variante du cheval de Troie (111 Ko). Cette variante utilise un nouveau modèle de courrier électronique, encore simplifié, variable et très réaliste, usurpant le nom de véritables services de cartes postales électroniques (postcard.com, egreetings.com, freewebcards.com, 1lovecards.com, etc.) :

Comme depuis le départ, le courrier électronique ne comporte pas de fichier joint. Quelques titres de messages :

• Partner sent you an ecard from postcard.com!
• Colleague sent you a postcard from egreetings.Com!
• Worshipper sent you a greeting card from FreeWebCards.Com!
• School mate sent you a greeting ecard from 1LoveCards.Com!
• Friend sent you a greeting ecard from greet2k.Com!
• Class mate sent you a postcard from greet2k.com!
• School friend sent you a greeting card from riversongs.com!
• Neighbour sent you a greeting card from hallmark.com!

Si l'internaute clique sur le lien hypertexte contenu dans le message, il est dirigé vers une page web piégée qui tente d'installer automatiquement le programme malicieux en exploitant plusieurs failles de sécurité et qui incite à télécharger une prétendue carte électronique ecard.exe qui est en réalité le cheval de Troie Storm Worm :

Cette variante est identifiée sous les noms WORM/Zhelatin.Gen (Antivir), Win32:Tibs-BEC (Avast), Trojan.Peed.IDL (BitDefender), Trojan.Small-3375 (ClamAV), Trojan.Packed.142 (Dr.Web), Win32/Sintun.AC (eTrust), Email-Worm.Win32.Zhelatin.gq (F-Secure), Email-Worm.Win32.Zhelatin.gq (Kaspersky), W32/Nuwar@MM (McAfee), Tibs.gen126(Norman), Mal/Dorf-A (Sophos), Trojan.Packed.13 (Symantec).

10/08/07 : diffusion d'une nouvelle variante du cheval de Troie (111-113 Ko) selon le même scénario que 09/08/07. Cette variante est identifiée sous les noms WORM/Zhelatin.Gen (Antivir), Win32:Tibs-BEC (Avast), Downloader.Downloader.Tibs.7.B (AVG), Trojan.Peed.IDN (BitDefender), Trojan.Small-3376 (ClamAV), Trojan.Packed.142 (Dr.Web), Win32/Sintun.AC (eTrust), Email-Worm.Win32.Zhelatin.gr (F-Secure/Kaspersky), W32/Nuwar@MM (Mc Afee), Tibs.gen126 (Norman), Mal/Dorf-A (Sophos), Trojan.Packed.13 (Symantec).

11/08/07 : diffusion d'une nouvelle variante du cheval de Troie (113 Ko) selon le même scénario que 09/08/07. Cette variante est identifiée sous les noms WORM/Zhelatin.Gen (Antivir), Win32:Tibs-BED (Avast), Downloader.Tibs.7.D (AVG), Generic.Malware.FMPH@mmign.5A9C7517/Trojan.Peed.IEM (BitDefender), Trojan.Small-3408 (ClamAV), Trojan.Packed.142 (Dr.Web), Win32/Sintun.AC (eTrust), Packed.Win32.Tibs.bf/Email-Worm.Win32.Zhelatin.gn (F-Secure/Kaspersky), Mal/EncPk-Q (Sophos), Trojan.Packed.13 (Symantec).

12/08/07 : diffusion de la même variante du cheval de Troie (113 Ko) en utilisant un nouveau modèle de courrier électronique, encore plus universel, visant à faire passer le programme malicieux aussi bien pour une carte de félicitations que pour une carte d'anniversaire. Quelques titres de message :

• Birthday postcard
• Greeting card
• Funny ecard
• Movie-quality e-card
• Holiday postcard
• Movie-quality ecard
• Greeting e-card
• Animated ecard
• Funny postcard
• Greeting ecard
• Love ecard
• Birthday card
• Thank you card
• Birthday ecard
• Love e-card
• Musical card
• Holiday ecard
• Birthday e-card
• Funny card
• Animated postcard
• Holiday postcard
• Holiday e-card

L'expéditeur apparent n'est plus le nom d'un service de cartes électroniques anglophone mais l'adresse électronique d'un correspondant, usurpée ou composée aléatoirement par le troyen. Le message, inspiré de celui du 09/08/07, a été une nouvelle fois remanié en conséquence :

Le courrier électronique ne comporte toujours pas de fichier joint mais le premier lien conduit une page web piégée qui tente d'installer automatiquement le programme malicieux en exploitant des failles de sécurité et qui incite à télécharger une prétendue carte anniversaire ecard.exe qui est en réalité le cheval de Troie Storm Worm.

14/08/07 13h00 : diffusion d'une nouvelle variante du cheval de Troie (113 Ko). Cette variante est identifiée sous les noms WORM/Zhelatin.Gen (Antivir), Win32:Tibs-BED (Avast), Downloader.Tibs.7.D (AVG), Trojan.Peed.IEM (BitDefender), Trojan.Packed.142 (Dr.Web), Win32/Sintun.AC (eTrust), Packed.Win32.Tibs.bg (F-Secure), Email-Worm.Win32.Zhelatin.gw (Kaspersky), Trojan.Packed.13 (Symantec).

14/08/07 16h00 : diffusion d'une nouvelle variante du cheval de Troie (112-113 Ko) en utilisant un modèle de courriel encore simplifié et personnalisé et surtout une nouvelle page web piégée. Quelques titres de message :

• Birthday e-card
• Birthday ecard
• Musical ecard
• Animated card
• Holiday ecard
• Birthday e-card [nom d'utilisateur de votre adresse email]
• Movie-quality card
• Greeting postcard
• Funny e-card
• Funny card
• Thank you e-card
• Musical card
• Musical postcard
• Love card
• Funny postcard
• Holiday card
• Holiday postcard
• Thank you card
• Movie-quality e-card
• Love postcard
• Movie-quality ecard

Un exemple de courrier électronique :

Si l'internaute clique sur le lien hypertexte contenu dans le message, il est dirigé vers une page web qui tente d'installer automatiquement le programme malicieux en exploitant plusieurs failles de sécurité et qui incite à télécharger un programme appelé Microsoft Data Access (msdataaccess.exe) prétendument nécessaire à la visualisation de la carte électronique, qui est en réalité le cheval de Troie Storm Worm :

Cette variante est identifiée sous les noms WORM/Zhelatin.Gen (Antivir), Win32:Tibs-BDA (Avast), Downloader.Tibs.6.AP (AVG), Generic.Malware.FMPH@mmign.F163C45D (BitDefender), Trojan.Small-3263 (ClamAV), Trojan.Packed.142 (Dr.Web), Win32/Sintun.AC (eTrust), Email-Worm.Win32.Zhelatin.gg (F-Secure), Email-Worm.Win32.Zhelatin.gg (Kaspersky), W32/Nuwar@MM (McAfee), Worm:Win32/Nuwar.WQ (Microsoft), Win32/Nuwar.Gen (NOD32), W32/Tibs.ANVG (Norman), Trojan.Packed.13 (Symantec).

15/08/07 05h00 : diffusion d'une nouvelle variante du cheval de Troie (135 Ko) selon le même scénario que 14/08/07. Cette variante est identifiée sous les noms TR/Peed.IDU (Antivir), Win32:Tibs-BCY (Avast), SpamTool.AKB (AVG), Trojan.Peed.IDU (BitDefender), Trojan.Small-3411 (ClamAV), BackDoor.Groan (Dr.Web), Win32/Pecoan (eTrust), W32/Tibs.WZ (F-Prot), Email-Worm.Win32.Zhelatin.gn (F-Secure/Kaspersky), W32/Nuwar@MM (McAfee), Backdoor:Win32/Agent!8825 (Microsoft), W32/Tibs.dam (Norman), Trojan Horse (Symantec).

15/08/07 17h00 : diffusion d'une ancienne variante du cheval de Troie (112-113 Ko) repérée pour la première fois le 10/08/07, mais selon le nouveau scénario du 14/08/07 (donc sous le nom msdataaccess.exe). Cette variante est identifiée sous les noms WORM/Zhelatin.Gen (Antivir), Win32:Tibs-BEC (Avast), Downloader.Downloader.Tibs.7.D (AVG), Generic.Malware.FMPH@mmign.B0A26C17 (BitDefender), Trojan.Small-3376 (ClamAV), Trojan.Packed.142 (Dr.Web), Win32/Sintun.AC (eTrust), Email-Worm.Win32.Zhelatin.gq (F-Secure/Kaspersky), W32/Nuwar@MM (Mc Afee), Worm:Win32/Nuwar.WP (Microsoft), Win32/Nuwar.Gen (NOD32), Trojan.Packed.13 (Symantec).

16/08/07 : diffusion de la même ancienne variante, toujours selon le nouveau scénario du 14/08/07 (donc sous le nom msdataaccess.exe), mais en utilisant un modèle de courriel encore davantage simplifié :

Le message usurpe l'identité de sites web réels et fait varier aléatoirement les dates de copyright.

17/08/07 : diffusion d'une nouvelle variante du cheval de Troie (112 Ko) en utilisant un nouveau scénario. Le troyen se présente sous la forme d'un courrier électronique intitulé "Don`t worry, be happy!", toujours sans fichier joint, le corps du message étant un court texte suggestif à caractère amoureux ou sexuel, incitant l'internaute à cliquer sur un lien hypertexte contenant une adresse IP (de la forme XX.XX.XX.XX, XX étant un nombre entre 0 et 255) :

Si l'internaute clique sur ce lien hypertexte, il est dirigé vers une page web qui tente d'installer automatiquement le programme malicieux en exploitant plusieurs failles de sécurité et qui incite à télécharger un programme appelé Microsoft Data Access (msdataaccess.exe), prétendument nécessaire à la visualisation d'une carte électronique :

18/08/07 : diffusion de la même variante du cheval de Troie (112 Ko) via une série de courriels sans titre voire sans texte, toujours sans fichier joint, incitant l'internaute à cliquer sur un lien similaire pour télécharger des photos :

Si l'internaute clique sur ce lien hypertexte, il est également dirigé vers une page web qui tente d'installer automatiquement le programme malicieux en exploitant plusieurs failles de sécurité et qui incite à télécharger le programme msdataaccess.exe, cette fois prétendument nécessaire à la visualisation d'une image :

Il ne faut pas cliquer sur ce lien ni télécharger le fichier msdataaccess.exe car ce programme est en réalité le cheval de Troie Storm Worm. Cette variante est identifiée sous les noms WORM/Zhelatin.Gen (Antivir), Downloader.Tibs.7.D (AVG), Trojan.Peed.IFK (BitDefender), Trojan.Small-3426 (ClamAV), Trojan.Packed.142 (Dr.Web), Win32/Sintun.AC (eTrust), Trojan:Win32/Tibs.DS (Microsoft), Mal/Dorf-E (Sophos), Trojan.Packed.13 (Symantec).

19/08/07 : diffusion d'une nouvelle variante du cheval de Troie (112 Ko) via une nouvelle série de courriers électroniques, le court texte en anglais figurant anciennement dans le message étant désormais utilisé en objet :

• let me know if you like my pics, maybe I will send you more!
• Well you showed me yours, I guess I better show you mine, hehe. check out my pics.
• Hey man, check out these pics I took of my Ex-Wife. Man she was hot.
• I never thought I would ever take these kind of pics, but it makes me so wet. take a look, hehe.
• Do you think my bra is too tight. Maybe I should take it off. let me know what you think.
• My friend took these pics of me, I even took some of her. wanna see?
• I need a real man who knows how to please me. Check out my photos. Is it you?
• I took those pictures you wanted. These will get you hot.
• Don't tell my husband I gave you these pics. He would kill me. hehe
• I get so wet when my friend takes pictures of me. wanna see?
• Oh baby, I missed you so much. Here are some pics to keep you hot till I see you.
• Oh man this girl is a freak, lol. She was so wild. Check out the pics we took.
• I cant believe you talked me into taking these pictures, hehe. I hope you like em.
• I bet your wife wont do this for you. come and see, ;-)
• Oh baby, I love what you sent me. Here is some pics to say thanks.

Le corps du message en est réduit d'autant :

Comme précédemment, si l'internaute clique sur ce lien hypertexte, il est dirigé vers une page web piégée. Cette variante est identifiée sous les noms WORM/Zhelatin.Gen (Antivir), Downloader.Tibs.7.D (AVG), Trojan.Peed.IFP (BitDefender), Trojan.Small-3608 (ClamAV), Trojan.Packed.142 (Dr.Web), Win32/Sintun.AC (eTrust), Worm:Win32/Nuwar.gen (Microsoft), Mal/Dorf-E (Sophos), Trojan.Packed.13 (Symantec).

20/08/07 : diffusion d'une nouvelle variante du cheval de Troie (112 Ko) en utilisant un nouveau scénario. Dans une première série de courriers électroniques proche des précédentes, le titre est "Re:" et le corps du message variable :

Si l'internaute clique sur ce lien hypertexte, il est dirigé vers une page web qui tente d'installer automatiquement le programme malicieux en exploitant plusieurs failles de sécurité et qui incite à télécharger une application appelée Microsoft ActiveX Applet (applet.exe), prétendument nécessaire à la visualisation des images :

Il ne faut pas cliquer sur les liens ni télécharger le fichier applet.exe car ce programme est en réalité le cheval de Troie Storm Worm. Cette variante est identifiée sous les noms WORM/Zhelatin.Gen (Antivir), Win32:Zhelatin-ANX (Avast), Downloader.Tibs.7.D (AVG), Trojan.Peed.IFS (BitDefender), Trojan.Small-3614 (ClamAV), Trojan.Packed.142 (Dr.Web), Win32/Sintun.AC (eTrust), Email-Worm.Win32.Zhelatin.gm (Kaspersky), Trojan:Win32/Tibs.DT (Microsoft), Win32/Nuwar.Gen (NOD32), Mal/Dorf-E (Sophos), Trojan.Packed.13 (Symantec).

21/08/07 02h00 : diffusion de la même variante du cheval de Troie (112 Ko) via une deuxième série de courriels plus élaborés et très réalistes, tentant de se faire passer pour un message de bienvenue à un service en ligne de thème très divers (humour, emploi, jeux, rencontre, sonneries, outils pour webmestres, vins, etc.). Le message contient de faux identifiants et incite le destinataire à cliquer sur un lien hypertexte pour changer le mot de passe par sécurité. Le message utilise une technique d'authentification anti-spam laissant penser que l'expéditeur est autorisé.

Quelques noms d'expéditeur et de service en ligne utilisés :

• Bartenders Guide
• Cat Lovers
• CoolPics
• Dog Lovers
• Downloader Heaven
• Entertaining Pros
• Free Ringtones
• Free Web Tools
• Fun World
• Game Connect
• Internet Dating
• Job Search Pros
• Joke-A-Day
• Mobile Fun
• MP3 World
• Net Gambler
• Net-Jokes
• Office Antics
• Online Gamers
• Online Hook-Up
• Pet World
• Poker World
• Recipes Galore
• Resume Hunters
• Ringtone Heaven
• Ringtone World
• Web Connects
• Web Cooking
• Web Players
• WebTunes
• Wine Lovers

Quelques titres de message :

• Dated Confirmation
• Internet Techincal Support
• Internal Support
• Login Info
• Login Information
• Login Verification
• Member Confirm
• Member Details
• Member Registration
• Membership Details
• Membership Support
• New Member Confirmation
• New User Confirmation
• New User Details
• New User Letter
• New User Support
• Please Confirm
• Registration Confirmation
• Registration Details
• Secure Registration
• Tech Department
• Technical Support
• Thank You For Joining
• User Info
• User Services
• User Verification
• Welcome Letter
• Welcome New Member

Le corps du message est personnalisé en fonction de l'expéditeur :

Si l'internaute clique sur le lien hypertexte, il est dirigé vers une page web qui tente d'installer automatiquement le programme malicieux en exploitant plusieurs failles de sécurité et qui incite à télécharger une application appelée Secure Login Applet (applet.exe), prétendument nécessaire à son identification :

Il ne faut pas cliquer sur les liens ni télécharger le fichier applet.exe car ce programme est en réalité le cheval de Troie Storm Worm. Cette variante est identifiée sous les noms WORM/Zhelatin.Gen (Antivir), Win32:Zhelatin-ANX (Avast), Downloader.Tibs.7.D (AVG), Trojan.Peed.IFS (BitDefender), Trojan.Small-3614 (ClamAV), Trojan.Packed.142 (Dr.Web), Win32/Sintun.AC (eTrust), Email-Worm.Win32.Zhelatin.gm (Kaspersky), Trojan:Win32/Tibs.DT (Microsoft), Win32/Nuwar.Gen (NOD32), Mal/Dorf-E (Sophos), Trojan.Packed.13 (Symantec).

21/08/07 15h00 : diffusion d'une nouvelle variante du cheval de Troie (112 Ko) selon le même scénario que ce matin. Cette variante est identifiée sous les noms WORM/Zhelatin.Gen (Antivir), Win32:Zhelatin-ANZ (Avast), Downloader.Tibs.7.D (AVG), Trojan.Peed.IFS (BitDefender), Fathom (ClamAV), Trojan.Packed.142 (Dr.Web), Win32/Sintun.AC (eTrust), Email-Worm.Win32.Zhelatin.hc (Kaspersky), Win32/Nuwar.Gen (NOD32), Mal/Dorf-E (Sophos), Trojan.Packed.13 (Symantec).

22/08/07 15h30 : diffusion de la même variante du cheval de Troie que 21/08/07 à 15h00 (112 Ko), via des messages au format HTML. Le lien hypertexte contenant une adresse IP (de la forme XX.XX.XX.XX, XX étant un nombre entre 0 et 255) n'est donc plus directement visible (il faut survoler le lien - sans cliquer - et regarder dans la barre des tâches du logiciel ou dans l'infobulle qui apparaît), limitant encore les risques d'éveiller les soupçons du destinataire :

Il ne faut pas cliquer sur ce lien, qui conduit toujours à une page web piégée tentant d'infecter automatiquement l'ordinateur de l'internaute et proposant de télécharger un fichier applet.exe qui est le cheval de Troie Storm Worm. Si ça n'est pas déjà fait, il est fortement recommandé de paramétrer son logiciel de messagerie de manière à ce qu'il affiche par défaut tous les messages au format texte brut (menu Outils > Options > onglet Lecture > cocher "Lire tous les messages en texte clair" dans Outlook Express ou Outils > Options > onglet Préférences > bouton Options de la messagerie > cocher "Lire tous les messages standard au format texte brut" dans Outlook).

22/08/07 22h00 : diffusion d'une nouvelle variante du cheval de Troie (138 Ko) selon le même scénario que dans l'après-midi, à la différence que la page piégée vers laquelle renvoie le lien hypertexte contenu dans le message est identique à celle du 09/07/08 ("Your Download Should Begin Shortly. If your download does not start in approximately 15 seconds, you can click here to launch the download.") et le fichier infectant proposé en téléchargement à nouveau ecard.exe. Cette variante est identifiée sous les noms WORM/Zhelatin.Gen (Antivir), Win32:Zhelatin-AOB (Avast), Downloader.Tibs.7.Q (AVG), Trojan.Tibs.CI (BitDefender), Trojan.Packed.142 (Dr.Web), Win32/Sintun.AE (eTrust), Email-Worm.Win32.Zhelatin.he (F-Secure/Kaspersky), Trojan:Win32/Tibs.gen!B (Microsoft), Win32/Nuwar.Gen (NOD32), Mal/Dorf-E (Sophos), Trojan.Packed.13 (Symantec).

23/08/07 : diffusion d'une nouvelle variante du cheval de Troie (138 Ko) selon le même scénario que 22/08/07 22h00, le nom du fichier infectant étant donc toujours ecard.exe. Cette variante est identifiée sous les noms WORM/Zhelatin.Gen (Antivir), Downloader.Tibs.7.Q (AVG), Trojan.Peed.IGF (BitDefender), Packed.Win32.Tibs.bl (F-Secure / Kaspersky), Mal/Dorf-E (Sophos), Trojan.Packed.13 (Symantec).

23/08/07 20h00 : diffusion d'une ancienne variante du cheval de Troie (98 Ko) remontant au 21/07/07 selon le même scénario que 22/08/07 22h00. Cette variante est identifiée sous les noms WORM/Zhelatin.Gen (Antivir), Win32:Tibs-BBI (Avast), Downloader.Tibs.6.U (AVG), Trojan.Peed.IAN (BitDefender), Trojan.Small-3201 (ClamAV), Trojan.Packed.142 (Dr.Web), Win32/Sintun.AB (eTrust), Trojan-Downloader.Win32.Tibs.mr (F-Secure/Kaspersky), Downloader-ASH.gen.b (Mc Afee), Trojan:Win32/Tibs.CY (Microsoft), Win32/Nuwar.Gen (NOD32), W32/Tibs.ANDB (Norman), Mal/Dorf-E (Sophos), Trojan.Packed.13 (Symantec).

24/08/07 04h30 : rediffusion de la variante du cheval de Troie (138 Ko) du 23/08/07 18h00, selon l'ancien scénario de la carte électronique mais en utilisant un message au format HTML, dans lequel l'adresse de destination du lien hypertexte n'est pas directement visible. L'expéditeur est une adresse usurpée ou générée automatiquement.

• A card for you
• A greeting for you
• A greeting from ...
• An Ecard for someone special
• Here is your E-greeting
• Open now for your eCard
• Someone is thinking about you.
• Someone Made you a card
• Someone sent you an Ecard
• You've received an E-Greeting
• You have a new eCard from...?
• You Have An Ecard
• You have received an eCard
• This is a Card for you.
• This is for you.

Le corps du message est variable et usurpe l'identité de sites de cartes électroniques réels (2000greetings.com, americangreetings.com, e-cards.com, ze-card.com, lakecards.com, bristos.com, netfuncards.com, lavacards.com, deepestfeelings.com, greetingsisland.com, christianet.com, egreetings.com, greet2k.com, bluemountain.com, birthdaycards.com, 123greetings.com, hallmark.com, etc.) :

Si l'internaute clique sur le lien hypertexte, il est dirigé vers une page web qui tente d'installer automatiquement le programme malicieux en exploitant plusieurs failles de sécurité et qui incite à télécharger un fichier ecard.exe :

Il ne faut pas cliquer sur ce lien ni télécharger le fichier ecard.exe car ce fichier est en réalité le cheval de Troie Storm Worm. Cette variante est identifiée sous les noms WORM/Zhelatin.Gen (Antivir), Downloader.Tibs.7.Q (AVG), Trojan.Peed.IGF (BitDefender), Trojan.Packed.142 (Dr.Web), Win32/Sintun.AE (eTrust), Packed.Win32.Tibs.bl (F-Secure / Kaspersky), Trojan:Win32/Tibs.gen!B (Microsoft), Mal/Dorf-E (Sophos), Trojan.Packed.13 (Symantec).

24/08/07 : diffusion d'une nouvelle variante (132 Ko) selon le même scénario. Cette variante est identifiée sous les noms WORM/Zhelatin.Gen (Antivir), Win32:Tibs-BEL (Avast), Downloader.Tibs.7.W (AVG), Trojan.Peed.IGK (BitDefender), Trojan.Small-3628 (ClamAV), Trojan.Packed.142 (Dr.Web), Email-Worm.Win32.Zhelatin.hi (Kaspersky), Trojan:Win32/Tibs.gen!B (Microsoft), Mal/Dorf-E (Sophos), Trojan.Packed.13 (Symantec).

25/08/07 : diffusion d'une nouvelle variante du cheval de Troie (135 Ko), selon un nouveau scénario. Il se présente désormais sous la forme d'un message invitant à regarder une vidéo YouTube et renvoyant le destinataire vers une page web piégée aux couleurs de YouTube. Pour plus d'informations, voir la fiche Zhelatin.HJ.

INFORMATIONS COMPLEMENTAIRES :
-> Abonnement gratuit à la lettre Secuser Alerte pour être prévenu de l'apparition des nouveaux hoax et virus
-> Identifier les fausses alertes virus avec Hoaxkiller.fr
-> FAQ : des dizaines de messages infectés envahissent ma boîte aux lettres. Mon ordinateur est-il contaminé? Comment arrêter ça?
-> FAQ : une alerte m'indique qu'un virus a été trouvé dans un message que j'ai envoyé. Mon ordinateur est-il infecté?
-> FAQ : comment désinfecter le répertoire C:\RESTORE?
-> FAQ : que faire dans le cas d'un fichier "uncleanable" (non nettoyable)?
-> FAQ : comment supprimer un fichier en cours d'utilisation?
-> FAQ : qu'est-ce que le partage de fichiers et comment y mettre fin?
-> Dossier Secuser.com sur les virus