Accueil Actualités Documentation Téléchargement Vulnérabilités Phishing Hoax Virus Antivirus en ligne Contact
 
Secuser.com
 
GENERAL
Actualité du jour
Lettres d'information
Recommander ce site
Signaler un incident
Nous écrire
 
VIRUS
Alertes virus
Dossiers virus
Alertes par email
Antivirus gratuits
Antivirus en ligne
Désinfection
FAQ virus
 
PROTECTION
Alertes sécurité
Dossier firewall
Alertes par email
Firewalls gratuits
Scanner de ports
Antirootkits gratuits
Traceur IP/domaine
Windows Update
FAQ sécurité
 
PHISHING
Alertes phishing
Logiciels antiphishing
FAQ phishing
 
SPAM
Dossier spammning
Logiciels antispam
FAQ spam
 
VIE PRIVEE
Paiements en ligne
Dossier spywares
Antispywares gratuits
Vos traces sur le Net
FAQ vie privée
 
HOAX
Alertes hoax
Dossier hoax
Dossier viroax
Antihoax en ligne
FAQ hoax
 
NEWSLETTER
Recevez chaque semaine la lettre de Secuser.com :
 
 
ALERTE CONTAMINATION

Troyen
Agent.AF (= Storm Worm)

Agent.AF est un programme malicieux de type cheval de Troie. Avec ses multiples variantes, il fait partie de l'infection Storm Worm. Il se présente sous la forme d'un courriel sans fichier joint renvoyant le destinataire vers une page web piégée, en tentant de se faire passer notamment pour une carte électronique prétendument envoyée par un proche, pour une fausse alerte sécurité, pour des cartes d'anniversaire, de félicitations ou d'amour, pour des photographiques coquines, ou pour un message de bienvenue à divers services en ligne.
 

PREVENTION :
Les utilisateurs concernés doivent mettre à jour leur antivirus. Les utilisateurs de Windows doivent également à mettre à jour leurs logiciels afin de corriger les failles de sécurité exploitables par Agent.AF et ses variantes pour s'installer automatiquement.

DESINFECTION :
Avant de commencer la désinfection, il est impératif de s'assurer avoir appliqué les mesures préventives ci-dessus pour éviter la réinfection de l'ordinateur. Les utilisateurs ne disposant pas d'un antivirus peuvent utiliser l'antivirus gratuit en ligne pour rechercher et supprimer Agent.AF et ses variantes.


TYPE :
Troyen

SYSTEME(S) CONCERNE(S) :
Windows

ALIAS :
SPR/Spam.Agent.AF.9 (Antivir)
Downloader.Tibs.5.BI (AVG)
Trojan.Peed.HXN (BitDefender)
Trojan.Small-2718 (ClamAV)
Trojan.Packed.140 (Dr.Web)
W32/Tibs.TU (F-Prot)
SpamTool.Win32.Agent.af (Kaspersky)
Downloader-ASH.gen (McAfee)
W32/Zhelatin.gen!eml (Mc Afee)
Spammer:Win32/Agent.AA (Microsoft)
Tibs.gen118 (Norman)
Trj/Downloader.MDW (Panda)
Mal/EncPk-Q (Sophos)
Trojan.Packed.13 (Symantec)
Trojan.Peacomm.C (Symantec)
WORM_NUWAR.GU (Trend Micro)
Storm Worm

TAILLE :
8 Ko

DECOUVERTE :
22/06/2007

DESCRIPTION DETAILLEE :
Agent.AF est un programme malicieux de type cheval de Troie, c'est-à-dire un programme hostile incapable de se multiplier et de se propager par lui-même contrairement aux virus. Il peut cependant arriver en pièce jointe d'un courrier électronique car son auteur utilise la technique du spamming pour le diffuser.

Il se présente sous la forme d'un courrier électronique en anglais prétendument envoyé de la part d'un proche depuis un site web de cartes postales électroniques de Hong Kong (nom de domaine avec une extension en .hk) et invitant le destinataire à cliquer sur un lien hypertexte afin de découvrir le message reçu :

Good day.

Your family member has sent you an ecard from du****.hk.

Send free ecards from du****.hk with your choice of colors, words and music.

Your ecard will be available with us for the next 30 days. If you wish
to keep the ecard longer, you may save it on your computer or take a print.

To view your ecard, choose from any of the following options:

--------
OPTION 1
--------

Click on the following Internet address or
copy & paste it into your browser's address box.

http://du****.hk/?01cba46921636c804814655

--------
OPTION 2
--------

Copy & paste the ecard number in the "View Your Card" box at
http://du****.hk/

Your ecard number is
01cba46921636c804814655

Best wishes,
Postmaster,
du****.hk

*If you would like to send someone an ecard, you can do so at
http://du****.hk/

Si l'utilisateur clique sur un des liens proposés, il est renvoyé vers une page web doublement piégée. Elle tente en effet d'exploiter plusieurs failles de sécurité via le navigateur (QuickTime, Winzip et Microsoft WebViewFolderIcon) pour exécuter du code malveillant automatiquement et sous prétexte d'une nouvelle fonctionnalité propose de télécharger un fichier ecard.exe, qui se trouve être malicieux et non encore détecté par tous les antivirus :

We are currently testing a new browser feature. If you are not able to view this ecard, please click here to view in its original format.

Si ce fichier est exécuté, le cheval de Troie s'installe et permet la prise de contrôle à distance de l'ordinateur contaminé par une personne malveillante, constituant un gigantesque réseau de PC "zombies".

23/06/07 : diffusion d'une nouvelle variante du cheval de Troie (9 Ko) selon le même scénario mais via un autre site web (http://rs****.hk). Cette variante est identifiée sous les noms WORM/Zhelatin.Gen (Antivir), Downloader.Tibs.5.BI (AVG), Trojan.Peed.HXR.Gen (BitDefender), Trojan.Small-2719 (ClamAV), Trojan.Packed.140 (Dr.Web), Email-Worm.Win32.Zhelatin.fa (F-Secure), Email-Worm.Win32.Zhelatin.fa (Kaspersky), Win32/TrojanDownloader.Small.AVT (NOD32), OScope.Worm.UK.Nuwar (VBA32).

24/06/07 : diffusion de la même variante que 23/06/06 mais via un autre site web (http://zz****.hk).

25/06/07 : diffusion d'une nouvelle variante du cheval de Troie (8 Ko) selon le même scénario mais via plusieurs autres sites web (http://sm****.hk et http://gr****.hk). Cette variante est identifiée sous les noms TR/Small.DBY.DF (Antivir), Downloader.Tibs.5.BI (AVG), Trojan.Peed.HXX (BitDefender), Trojan.Packed.141 (Dr.Web), Trojan-Downloader.Win32.Tibs.ll (F-Secure), Trojan-Downloader.Win32.Tibs.ll (Kaspersky).

26/06/07 : diffusion d'une nouvelle variante du cheval de Troie (8 Ko) selon le même scénario mais via plusieurs autres sites web (http://ca*****.hk et http://no***.hk). Cette variante est identifiée sous les noms TR/Small.DBY.DH (Antivir), Downloader.Tibs.5.BI (AVG), Trojan.Peed.HYB (BitDefender), Trojan.Packed.142 (Dr.Web).

28/06/07 07h30 : diffusion d'une nouvelle variante du cheval de Troie (131 Ko) selon le même scénario mais via plusieurs autres sites web (http://cu*****.hk et http://fl***.hk). Cette variante est identifiée sous les noms TR/Small.DBY.DB (Antivir), Trojan.Packed.145 (Dr.Web), Trojan-Downloader.Win32.Tibs.mn (F-Secure), Trojan-Downloader.Win32.Tibs.mn (Kaspersky), Tibs.gen108 (Norman).

28/06/07 15h00 : diffusion d'une variante du cheval de Troie selon un scénario similaire, à la différence que le nom d'expéditeur apparent n'est plus un domaine en .hk mais Postcard.com (nom usurpé associé à une adresse en .com différente) et que le lien à cliquer est une adresse IP (de la forme http://XXX.XXX.XXX.XXX, X étant un nombre).

29/06/07 : diffusion de la même variante du cheval de Troie (131 Ko) selon un scénario similaire à celui du 28/06/07 15h00, l'expéditeur apparent étant cette fois egreetings.com (nom usurpé associé à une adresse différente). Cette variante est désormais identifiée sous les noms Virus.Win32.KME par F-Secure et Kaspersky.

30/06/07 : diffusion d'une variante du cheval de Troie (131 Ko) selon un scénario similaire mais avec un titre de message variable. Le titre du courrier électronique est variable, dont notamment :

  • You've received a postcard from a family member!
  • You've received a greeting postcard from a worshipper!
  • You've received a greeting ecard from a partner!
  • You've received a greeting ecard from a friend!
  • You've received a greeting card from a colleague!
  • You've received an ecard from a class mate!
  • You've received a greeting card from a school friend!
  • You've received a greeting ecard from a neighbour!

Le nom d'expéditeur apparent est également variable (egreetings.Com, vintagepostcards.com, E-Cards.Com, funnypostcard.com, Postcard.com, 123greetings.com, bluemountain.com, greetingCard.Org, riversongs.com, AmericanGreetings.Com, etc.). Cette variante est identifiée sous les noms TR/Small.DBY.DB (Antivir), Win32:Tibs-AZF (Avast), Trojan.Peed.ON (BitDefender), Trojan.Small-2885 (ClamAV), Trojan.Packed.142 (Dr.Web), Trojan-Downloader.Win32.Tibs.mq (F-Secure), Trojan-Downloader.Win32.Tibs.mq (Kaspersky).

03/07/07 : diffusion d'une variante du cheval de Troie (131 Ko) selon un scénario similaire mais dédié à la fête nationale américaine du 4 juillet. Le titre du courrier électronique est variable, dont notamment :

  • American Pride, On The 4th
  • Fireworks on The 4th
  • Celebrate Your Nation
  • Happy Birthday America
  • July 4th B-B-Q Party
  • Independence Day Party
  • Fourth of July Party
  • July 4th Family Day
  • Celebrate Your Independence
  • 4th Of July Celebration
  • America's 231st Birthday
  • Happy 4th of July

Le nom d'expéditeur apparent est également variable (postcardsfrom.com, greetingcard.org, GreetingCards.Com, netfuncards.com, egreetings.com, freewebcards.com, 2000greetings.com, bluemountain.com, Hallmark.Com, mypostcards.com, dgreetings.Com, Postcard.com, americangreetings.com, etc.) et usurpé. Par rapport aux précédentes variantes, le texte du message a été simplifié :

Hi.

[school-mate/colleague/neighbour/Friend/Worshipper/Family member/School friend] has sent you an ecard.
See your card as often as you wish during the next 15 days.

SEEING YOUR CARD

If your email software creates links to Web pages, click on your
card's direct www address below while you are connected to the Internet:

http://81.***.***.***/?40d8e117868911e6c36a4bc9550996

Or copy and paste it into your browser's "Location" box (where Internet
addresses go).

PRIVACY
[nom d'expéditeur] honors your privacy. Our home page and Card Pick Up have links to our Privacy Policy.

TERMS OF USE
By accessing your card you agree we have no liability.
If you don't know the person sending the card or don't wish to see the card,
please disregard this Announcement.

We hope you enjoy your awesome card.

Wishing you the best,
[Mailer-Daemon/Administrator/Webmaster/Postmaster/Mail Delivery System],
[nom d'expéditeur]

Il ne faut pas cliquer sur lien hypertexte contenu dans le message : ce dernier pointe toujours vers une page web piégée exploitant plusieurs failles pour tenter d'infecter automatiquement l'ordinateur des internautes non à jour dans leurs correctifs de sécurité et incitant le visiteur à télécharger un fichier ecard.exe qui se trouve être malicieux. Cette variante est identifiée sous les noms TR/Small.DBY.DB (Antivir), Win32:Tibs-AZI (Avast), Downloader.Tibs.6.H (AVG), Trojan.Peed.OO (BitDefender), Trojan.Small-2886 (ClamAV), Trojan.Packed.148 (Dr.Web), Packed.Win32.Tibs.ap (F-Secure), Packed.Win32.Tibs.ap/Email-Worm.Win32.Zhelatin.fm (Kaspersky), W32/Nuwar@MM (McAfee), Win32/Fuclip (NOD32), Mal/Dorf-C (Sophos), Trojan.Packed.13 (Symantec).

05/07/07 : diffusion d'une nouvelle variante du cheval de Troie (131 Ko) selon un scénario similaire, reprenant les titres de message et noms d'expéditeur apparents du 30/06/07 et le corps de message simplifié du 03/07/07 :

Hi. [Mate/School friend/Class-mate/Partner] has sent you an ecard.
See your card as often as you wish during the next 15 days.

SEEING YOUR CARD

If your email software creates links to Web pages, click on your
card's direct www address below while you are connected to the Internet:

http://89.***.***.***/?7c0b58e47d14c775ed2175ee0c2

Or copy and paste it into your browser's "Location" box (where Internet
addresses go).

PRIVACY
[nom d'expéditeur] honors your privacy. Our home page and Card Pick Up have links to our Privacy Policy.

TERMS OF USE
By accessing your card you agree we have no liability.
If you don't know the person sending the card or don't wish to see the card,
please disregard this Announcement.

We hope you enjoy your awesome card.

Wishing you the best,
[Mailer-Daemon/Administrator/Webmaster/Postmaster/Mail Delivery System],
[nom d'expéditeur]

Cette variante est identifiée sous les noms TR/Small.DBY.DB (Antivir), Win32:Tibs-AZJ (Avast), Trojan.Peed.HYR (BitDefender), Trojan.Small-2911 (ClamAV), Trojan.Packed.142 (Dr.Web), Win32/Sintun (eTrust), Email-Worm.Win32.Zhelatin.fm (F-Secure), Email-Worm.Win32.Zhelatin.fm (Kaspersky), W32/Nuwar@MM (McAfee).

06/07/07 : diffusion d'une nouvelle variante du cheval de Troie (131 Ko) selon le même scénario que 05/07/07. Cette variante est identifiée sous les noms TR/Small.DBY.DB (Antivir), Downloader.Tibs.6.K (AVG), Trojan.Peed.HYW (BitDefender), Trojan.Small-2911 (ClamAV), Trojan.Packed.142 (Dr.Web), Packed.Win32.Tibs.ab (F-Secure), Packed.Win32.Tibs.ab (Kaspersky), Win32/Fuclip (NOD32), Tibs.gen124 (Norman), Mal/Dorf-A (Sophos).

09/07/07 : diffusion d'une variante du cheval de Troie (132 Ko) selon un nouveau scénario. Le courrier électronique malicieux se présente sans pièce jointe. Le titre du message est variable, dont notamment :

  • Worm Alert!
  • Trojan Detected!
  • Virus Detected!
  • Malware Alert!
  • Worm Activity Detected!
  • Warning!

Le nom d'expéditeur apparent est également variable (Customer Support, Administrator, Customer Support Center Robot, Support Team, Customer Support Robot, Support Team Robot, Mailer-Deamon, etc.) et usurpé. Le message informe le destinataire qu'un faux problème de sécurité affecte son ordinateur pour l'inciter à cliquer sur un lien :

Dear Customer,

Our robot has detected an abnormal activity from your IP adress
on sending e-mails. Probably it is connected with the last epidemic
of a worm which does not have official patches at the moment.

We recommend you to install this patch to remove worm files
and stop email sending, otherwise your account will be blocked.

[nom d'expéditeur]

Si l'utilisateur clique sur le lien proposé, il est renvoyé vers une page web piégée qui tente d'exploiter plusieurs failles de sécurité via le navigateur pour exécuter automatiquement du code malveillant et qui propose à l'internaute de télécharger un fichier patch.exe, qui se trouve être malicieux et non encore détecté par tous les antivirus :

Your Download Should Begin Shortly. If your download does not start in approximately 15 seconds, you can click here to launch the download.

Cette variante est identifiée sous les noms TR/Small.DBY.DB (Antivir), Win32:Tibs-BAC (Avast), Downloader.Tibs.6.K (AVG), Trojan.Peed.OQ (BitDefender), Trojan.Small-2911 (ClamAV), Trojan.Packed.142 (Dr.Web), Win32/Sintun (eTrust), Packed.Win32.Tibs.ab (F-Secure), Packed.Win32.Tibs.ab (Kaspersky), W32/Nuwar@MM (McAfee), Tibs.gen124 (Norman), Mal/Dorf-A (Sophos), Trojan.Packed.13 (Symantec).

10/07/07 : diffusion de la même variante que 09/07/07 (132 Ko) correspondant à un faux correctif de sécurité patch.exe mais en utilisant un nouveau modèle de courrier électronique encore davantage simplifié se présentant comme une carte postale électronique, probablement suite à un bogue ou à un défaut de coordination :

Hi. School mate has sent you a greeting ecard.
See your card as often as you wish during the next 15 days.

SEEING YOUR CARD

If your email software creates links to Web pages, click on your
card's direct www address below while you are connected to the Internet:

http://24.***.***.***/?e3ca036e47840d8e117868911e6c3

Or copy and paste it into your browser's "Location" box (where Internet
addresses go).

We hope you enjoy your awesome card.

Wishing you the best,
[Mailer-Daemon/Administrator/Webmaster/Postmaster/Mail Delivery System],
[nom d'expéditeur]

Cette variante est toujours identifiée sous les noms TR/Small.DBY.DB (Antivir), Win32:Tibs-BAC (Avast), Downloader.Tibs.6.K (AVG), Trojan.Peed.OQ (BitDefender), Trojan.Small-2911 (ClamAV), Trojan.Packed.142 (Dr.Web), Win32/Sintun (eTrust), Packed.Win32.Tibs.ab (F-Secure/Kaspersky), W32/Nuwar@MM (McAfee), Win32/Nuwar.JT (Microsoft), Tibs.gen124 (Norman), Mal/Dorf-A (Sophos), Trojan.Packed.13 (Symantec).

11/07/07 : diffusion de la même variante que 10/07/07 (132 Ko). Le message est identique, le texte de la page web piégée est toujours celui utilisé lors du scénario de la fausse alerte sécurité mais le nom du fichier infecté a été corrigé et changé en ecard.exe. Cette variante est toujours identifiée sous les noms TR/Small.DBY.DB (Antivir), Trojan.Peed.OQ (BitDefender), Trojan.Packed.142 (Dr.Web), Packed.Win32.Tibs.ab (F-Secure/Kaspersky), Win32/Nuwar.JT (Microsoft), Mal/Dorf-A (Sophos), Trojan.Packed.13 (Symantec).

15/07/07 : diffusion d'une nouvelle variante du cheval de Troie (136 Ko) selon le même scénario que 11/07/07. Cette variante est identifiée sous les noms TR/Small.DBY.DB (Antivir), Downloader.Tibs.6.AE (AVG), Trojan.Peed.HZW (BitDefender), Trojan.Packed.142 (Dr.Web), Win32/Sintun (eTrust), Email-Worm.Win32.Zhelatin.fu (F-Secure/Kaspersky), Win32/Tibs.O (Microsoft), Mal/Dorf-A (Sophos), Trojan.Packed.13 (Symantec).

16/07/07 : diffusion d'une nouvelle variante du cheval de Troie (136 Ko) selon le même scénario que 11/07/07. Cette variante est identifiée sous les noms TR/Small.DBY.DB (Antivir), Trojan.Peed.HZZ (BitDefender), Trojan.Small-3151 (ClamAV), Trojan.Packed.142 (Dr.Web), Win32/Sintun (eTrust), Packed.Win32.Tibs.at (Kaspersky), Win32/Tibs.O (Microsoft), Mal/Dorf-A (Sophos), Trojan.Packed.13 (Symantec).

18/07/07 : diffusion d'une nouvelle variante du cheval de Troie (161 Ko), toujours selon le même scénario que 11/07/07. Cette variante est identifiée sous les noms TR/Small.DBY.DB (Antivir), Win32:Tibs-AZX (Avast), Generic5.OPU (AVG), Trojan.Peed.HZV (BitDefender), Trojan.Small-3153 (ClamAV), Trojan.SpamBug (Dr.Web), Win32/Pecoan (eTrust), Packed.Win32.Tibs.ap (F-Secure/Kaspersky), Win32/Tibs.P (Microsoft), Win32/Fuclip.AR (NOD32), W32/Tibs.AMQE (Norman), Trojan.Peacomm.B (Symantec).

19/07/07 : diffusion particulièrement massive d'une nouvelle variante du cheval de Troie (136 Ko), selon le même scénario que 11/07/07. Cette variante est identifiée sous les noms WORM/Zhelatin.Gen (Antivir), Win32:Tibs-BBG (Avast), Trojan.Peed.IAM (BitDefender), Trojan.Small-3171 (ClamAV), Trojan.Packed.142 (Dr.Web), Win32/Sintun (eTrust), Packed.Win32.Tibs.aw (Kaspersky), Win32/Tibs.O (Microsoft), Win32/Nuwar.Gen (NOD32), W32/Tibs.AMQE (Norman), Mal/Dorf-A (Sophos), Trojan.Packed.13 (Symantec).

20/07/07 : diffusion d'une nouvelle variante du cheval de Troie (95 Ko), toujours selon le même scénario que 11/07/07. Cette variante est identifiée sous les noms TR/Crypt.XPACK.Gen (Antivir), Downloader.Tibs.6.T (AVG), Trojan.Peed.Gen (BitDefender), Trojan.Small-3186 (ClamAV), Trojan.Packed.142 (Dr.Web), Packed.Win32.Tibs.ap (Kaspersky), Win32/Nuwar.gen (Microsoft), Mal/EncPk-E (Sophos), Trojan.Packed.13 (Symantec).

21/07/07 : diffusion d'une nouvelle variante du cheval de Troie (95 Ko) selon le même scénario que 11/07/07. Cette variante est identifiée sous les noms TR/Crypt.XPACK.Gen (Antivir), Win32:Tibs-BBI (Avast), Downloader.Tibs.6.U (AVG), Trojan.Peed.IAN (BitDefender), Trojan-Downloader.Win32.Tibs.mr (F-Secure/Kaspersky), Win32/Nuwar.gen (Microsoft), Trojan.Packed.13 (Symantec).

22/07/07 : diffusion d'une nouvelle variante du cheval de Troie (96 Ko) selon le même scénario que 11/07/07. Cette variante est identifiée sous les noms TR/Crypt.XPACK.Gen (Antivir), Trojan.Peed.IAN (BitDefender), Trojan.Packed.142 (Dr.Web), Win32/Sinteri.BI (eTrust), Email-Worm.Win32.Zhelatin.fz (F-Secure/Kaspersky), Win32/Nuwar.gen (Microsoft), W32/Tibs.ANBP (Norman).

24/07/07 : diffusion particulièrement massive de la même variante du cheval de Troie (96 Ko) que 22/07/07. Cette variante est identifiée sous les noms TR/Crypt.XPACK.Gen (Antivir), Win32:Tibs-BBJ (Avast), Trojan.Peed.IAN (BitDefender), Trojan.Packed.142 (Dr.Web), Win32/Sintun.AB (eTrust), Email-Worm.Win32.Zhelatin.fz (F-Secure/Kaspersky), Win32/Nuwar.gen (Microsoft).

26/07/07 : diffusion d'une nouvelle variante du cheval de Troie (97 Ko). Cette variante est identifiée sous les noms WORM/Zhelatin.Gen (Antivir), Downloader.Tibs.6.U (AVG), Trojan.Peed.IBL (BitDefender), Win32/Sintun.AB (eTrust), Packed.Win32.Tibs.ay (Kaspersky), Win32/Nuwar.gen (Microsoft), Win32/Nuwar.Gen (NOD32), Mal/Dorf-A (Sophos), Trojan.Packed.13 (Symantec).

29/07/07 : diffusion d'une nouvelle variante du cheval de Troie (111 Ko). Cette variante est identifiée sous les noms WORM/Zhelatin.Gen (Antivir), Win32:Tibs-BCW (Avast), Downloader.Tibs.6.U (AVG), Trojan.Peed.IBY (BitDefender), Trojan.Packed.142 (Dr.Web), Trojan-Downloader.Win32.Tibs.mu (F-Secure/Kaspersky), Mal/Dorf-A (Sophos), Trojan.Packed.13 (Symantec).

30/07/07 : diffusion d'une nouvelle variante du cheval de Troie (111 Ko). Cette variante est identifiée sous les noms WORM/Zhelatin.Gen (Antivir), Win32:Tibs-BCZ (Avast), Downloader.Tibs.6.U (AVG), Trojan.Peed.ICB (BitDefender), Trojan.Small-3255 (ClamAV), Trojan.Packed.142 (Dr.Web), Win32/Sintun.AC (eTrust), Email-Worm.Win32.Zhelatin.ge (F-Secure/Kaspersky), Mal/Dorf-A (Sophos), Trojan.Packed.13 (Symantec).

31/07/07 : diffusion d'une nouvelle variante du cheval de Troie (111 Ko). Cette variante est identifiée sous les noms WORM/Zhelatin.Gen (Antivir), Win32:Tibs-BDA (Avast), Downloader.Tibs.6.AP (AVG), Trojan.Peed.ICE (BitDefender), Trojan.Small-3263 (ClamAV), Trojan.Packed.142 (Dr.Web), Win32/Sintun.AC (eTrust), Email-Worm.Win32.Zhelatin.gg (F-Secure/Kaspersky), Win32/Nuwar.WM (Microsoft), Mal/Dorf-A (Sophos), Trojan.Packed.13 (Symantec).

02/08/07 : diffusion d'une nouvelle variante du cheval de Troie (111 Ko). Cette variante est identifiée sous les noms WORM/Zhelatin.Gen (Antivir), Win32:Tibs-BDI (Avast), Downloader.Tibs.6.U (AVG), Trojan.Peed.HQP (BitDefender), Trojan.Packed.142 (Dr.Web), Win32/Sintun.AC (eTrust), Email-Worm.Win32.Zhelatin.gk (F-Secure/Kaspersky), Win32/Nuwar (NOD32), Tibs.gen126 (Norman), Mal/Dorf-A (Sophos), Trojan.Packed.13 (Symantec). Selon certaines sources, cette infection dite "Storm Worm" aurait déjà contaminé près de 2 millions d'ordinateurs.

03/08/07 : diffusion d'une nouvelle variante du cheval de Troie (111 Ko). Cette variante est identifiée sous les noms WORM/Zhelatin.Gen (Antivir), Downloader.Tibs.6.U (AVG), Trojan.Peed.ICG (BitDefender), Trojan.Packed.142 (Dr.Web), Win32/Sintun.AC (eTrust), Trojan-Downloader.Win32.Tibs.mv (/Kaspersky), Tibs.gen126 (Norman), Mal/Dorf-A (Sophos), Trojan.Packed.13 (Symantec).

04/08/07 : diffusion d'une nouvelle variante du cheval de Troie (111 Ko). Cette variante est identifiée sous les noms WORM/Zhelatin.Gen (Antivir), Win32:Tibs-BDR (Avast), Trojan.Peed.ICL (BitDefender), Trojan.Packed.161 (Dr.Web), Packed.Win32.Tibs.ba (Kaspersky), Win32/Nuwar (NOD32), Mal/Dorf-A (Sophos).

05/08/07 : diffusion d'une nouvelle variante du cheval de Troie (111 Ko). Cette variante est identifiée sous les noms WORM/Zhelatin.Gen (Antivir), Win32:Tibs-BDS (Avast), Downloader.Tibs.6.U (AVG), Trojan.Small-3347 (ClamAV), Trojan.Packed.142 (Dr.Web), Win32/Sintun.AD (eTrust), Email-Worm.Win32.Zhelatin.gm (F-Secure/Kaspersky), Win32/Nuwar (NOD32), Mal/Dorf-A (Sophos).

06/08/07 : diffusion d'une nouvelle variante du cheval de Troie (111 Ko). Cette variante est identifiée sous les noms WORM/Zhelatin.Gen (Antivir), Downloader.Tibs.6.U (AVG), Trojan.Tibs.CD (BitDefender), Trojan.Packed.142 (Dr.Web), Win32/Sintun.AD (eTrust), Email-Worm.Win32.Zhelatin.gn (Kaspersky), Mal/Dorf-A (Sophos), Trojan.Packed.13 (Symantec).

07/08/07 : diffusion d'une nouvelle variante du cheval de Troie (111 Ko). Cette variante est identifiée sous les noms WORM/Zhelatin.Gen (Antivir), Win32:Tibs-BEA (Avast), Downloader.Tibs.6.AW (AVG), Generic.Peed.DF43BFA9 (BitDefender), Trojan.Small-3358 (ClamAV), Trojan.Packed.142 (Dr.Web), Win32/Sintun.AD (eTrust), Packed.Win32.Tibs.bb (F-Secure/Kaspersky), Worm:Win32/Nuwar.WO (Microsoft), Win32/Nuwar.Gen (NOD32), Tibs.gen128 (Norman), Mal/Dorf-A (Sophos), Trojan.Packed.13 (Symantec).

08/08/07 : diffusion d'une variante mineure du cheval de Troie (111 Ko). Cette variante est identifiée sous les noms WORM/Zhelatin.Gen (Antivir), Win32:Tibs-BEA (Avast), Downloader.Tibs.6.AW (AVG), Trojan.Peed.IDH (BitDefender), Trojan.Small-3358 (ClamAV), Trojan.Packed.142 (Dr.Web), Win32/Sintun.AD (eTrust), Email-Worm.Win32.Zhelatin.gp (F-Secure/Kaspersky), Trojan:Win32/Tibs.S (Microsoft), Win32/Nuwar.Gen (NOD32), Tibs.gen128 (Norman), Mal/Dorf-A (Sophos), Trojan.Packed.13 (Symantec).

09/08/07 : diffusion d'une nouvelle variante du cheval de Troie (111 Ko). Cette variante utilise un nouveau modèle de courrier électronique, encore simplifié, variable et très réaliste, usurpant le nom de véritables services de cartes postales électroniques (postcard.com, egreetings.com, freewebcards.com, 1lovecards.com, etc.) :

Partner has created a greeting card for you at postcard.com,
the Internet's most popular greeting card service.

Your greeting card ID is: b516c3c2cd8a7c0b58e47d14c775ed217

To see your custom greeting card, simply click on the link below:
http://24.***.**.***/?b516c3c2cd8a7c0b58e47d14c775ed217

Send greeting cards from postcard.com whenever you want by visiting us at:
http://postcard.com/
Copyright (c) 1996-2007 postcard.com All Rights Reserved

Comme depuis le départ, le courrier électronique ne comporte pas de fichier joint. Quelques titres de messages :

  • Partner sent you an ecard from postcard.com!
  • Colleague sent you a postcard from egreetings.Com!
  • Worshipper sent you a greeting card from FreeWebCards.Com!
  • School mate sent you a greeting ecard from 1LoveCards.Com!
  • Friend sent you a greeting ecard from greet2k.Com!
  • Class mate sent you a postcard from greet2k.com!
  • School friend sent you a greeting card from riversongs.com!
  • Neighbour sent you a greeting card from hallmark.com!

Si l'internaute clique sur le lien hypertexte contenu dans le message, il est dirigé vers une page web piégée qui tente d'installer automatiquement le programme malicieux en exploitant plusieurs failles de sécurité et qui incite à télécharger une prétendue carte électronique ecard.exe qui est en réalité le cheval de Troie Storm Worm :

Cette variante est identifiée sous les noms WORM/Zhelatin.Gen (Antivir), Win32:Tibs-BEC (Avast), Trojan.Peed.IDL (BitDefender), Trojan.Small-3375 (ClamAV), Trojan.Packed.142 (Dr.Web), Win32/Sintun.AC (eTrust), Email-Worm.Win32.Zhelatin.gq (F-Secure), Email-Worm.Win32.Zhelatin.gq (Kaspersky), W32/Nuwar@MM (McAfee), Tibs.gen126(Norman), Mal/Dorf-A (Sophos), Trojan.Packed.13 (Symantec).

10/08/07 : diffusion d'une nouvelle variante du cheval de Troie (111-113 Ko) selon le même scénario que 09/08/07. Cette variante est identifiée sous les noms WORM/Zhelatin.Gen (Antivir), Win32:Tibs-BEC (Avast), Downloader.Downloader.Tibs.7.B (AVG), Trojan.Peed.IDN (BitDefender), Trojan.Small-3376 (ClamAV), Trojan.Packed.142 (Dr.Web), Win32/Sintun.AC (eTrust), Email-Worm.Win32.Zhelatin.gr (F-Secure/Kaspersky), W32/Nuwar@MM (Mc Afee), Tibs.gen126 (Norman), Mal/Dorf-A (Sophos), Trojan.Packed.13 (Symantec).

11/08/07 : diffusion d'une nouvelle variante du cheval de Troie (113 Ko) selon le même scénario que 09/08/07. Cette variante est identifiée sous les noms WORM/Zhelatin.Gen (Antivir), Win32:Tibs-BED (Avast), Downloader.Tibs.7.D (AVG), Generic.Malware.FMPH@mmign.5A9C7517/Trojan.Peed.IEM (BitDefender), Trojan.Small-3408 (ClamAV), Trojan.Packed.142 (Dr.Web), Win32/Sintun.AC (eTrust), Packed.Win32.Tibs.bf/Email-Worm.Win32.Zhelatin.gn (F-Secure/Kaspersky), Mal/EncPk-Q (Sophos), Trojan.Packed.13 (Symantec).

12/08/07 : diffusion de la même variante du cheval de Troie (113 Ko) en utilisant un nouveau modèle de courrier électronique, encore plus universel, visant à faire passer le programme malicieux aussi bien pour une carte de félicitations que pour une carte d'anniversaire. Quelques titres de message :

  • Birthday postcard
  • Greeting card
  • Funny ecard
  • Movie-quality e-card
  • Holiday postcard
  • Movie-quality ecard
  • Greeting e-card
  • Animated ecard
  • Funny postcard
  • Greeting ecard
  • Love ecard
  • Birthday card
  • Thank you card
  • Birthday ecard
  • Love e-card
  • Musical card
  • Holiday ecard
  • Birthday e-card
  • Funny card
  • Animated postcard
  • Holiday postcard
  • Holiday e-card

L'expéditeur apparent n'est plus le nom d'un service de cartes électroniques anglophone mais l'adresse électronique d'un correspondant, usurpée ou composée aléatoirement par le troyen. Le message, inspiré de celui du 09/08/07, a été une nouvelle fois remanié en conséquence :

Class mate() has created Birthday postcard for you
at greetingsisland.com.

To see your custom Birthday postcard, simply click on the following
Internet address (if your mail program doesn't support this feature
you will need to COPY and PASTE the address into your browser's address box):

http://76.**.**.**/?9d2b1d96eb463c6da46ca440fc

Send a FREE greeting card from greetingsisland.com whenever you want by visiting us at:
http://greetingsisland.com/
This service is provided and hosted by greetingsisland.com.

Daughter() has created Greeting card for you
at lakecards.com.

To see your custom Greeting card, simply click on the following
Internet address (if your mail program doesn't support this feature
you will need to COPY and PASTE the address into your browser's address box):

http://58.***.***.**/?03f4ee8af5c23933166b19e

Send a FREE greeting card from lakecards.com whenever you want by visiting us at:
http://lakecards.com/
This service is provided and hosted by lakecards.com.

Le courrier électronique ne comporte toujours pas de fichier joint mais le premier lien conduit une page web piégée qui tente d'installer automatiquement le programme malicieux en exploitant des failles de sécurité et qui incite à télécharger une prétendue carte anniversaire ecard.exe qui est en réalité le cheval de Troie Storm Worm.

14/08/07 13h00 : diffusion d'une nouvelle variante du cheval de Troie (113 Ko). Cette variante est identifiée sous les noms WORM/Zhelatin.Gen (Antivir), Win32:Tibs-BED (Avast), Downloader.Tibs.7.D (AVG), Trojan.Peed.IEM (BitDefender), Trojan.Packed.142 (Dr.Web), Win32/Sintun.AC (eTrust), Packed.Win32.Tibs.bg (F-Secure), Email-Worm.Win32.Zhelatin.gw (Kaspersky), Trojan.Packed.13 (Symantec).

14/08/07 16h00 : diffusion d'une nouvelle variante du cheval de Troie (112-113 Ko) en utilisant un modèle de courriel encore simplifié et personnalisé et surtout une nouvelle page web piégée. Quelques titres de message :

  • Birthday e-card
  • Birthday ecard
  • Musical ecard
  • Animated card
  • Holiday ecard
  • Birthday e-card [nom d'utilisateur de votre adresse email]
  • Movie-quality card
  • Greeting postcard
  • Funny e-card
  • Funny card
  • Thank you e-card
  • Musical card
  • Musical postcard
  • Love card
  • Funny postcard
  • Holiday card
  • Holiday postcard
  • Thank you card
  • Movie-quality e-card
  • Love postcard
  • Movie-quality ecard

Un exemple de courrier électronique :

Neighbour([adresse email usurpée]) has created Birthday e-card for you [nom d'utilisateur de votre adresse email]
at egreetings.com.

To see your custom Birthday e-card, simply click on the following link:

http://69.***.*.**/

Send a FREE greeting card from egreetings.com whenever you want by visiting us at:
This service is provided and hosted by egreetings.com.

Si l'internaute clique sur le lien hypertexte contenu dans le message, il est dirigé vers une page web qui tente d'installer automatiquement le programme malicieux en exploitant plusieurs failles de sécurité et qui incite à télécharger un programme appelé Microsoft Data Access (msdataaccess.exe) prétendument nécessaire à la visualisation de la carte électronique, qui est en réalité le cheval de Troie Storm Worm :

To view your ecard, you need to have Microsoft Data Access installed on your computer. To obtain a free copy of Microsoft Data Access, please click here.

Cette variante est identifiée sous les noms WORM/Zhelatin.Gen (Antivir), Win32:Tibs-BDA (Avast), Downloader.Tibs.6.AP (AVG), Generic.Malware.FMPH@mmign.F163C45D (BitDefender), Trojan.Small-3263 (ClamAV), Trojan.Packed.142 (Dr.Web), Win32/Sintun.AC (eTrust), Email-Worm.Win32.Zhelatin.gg (F-Secure), Email-Worm.Win32.Zhelatin.gg (Kaspersky), W32/Nuwar@MM (McAfee), Worm:Win32/Nuwar.WQ (Microsoft), Win32/Nuwar.Gen (NOD32), W32/Tibs.ANVG (Norman), Trojan.Packed.13 (Symantec).

15/08/07 05h00 : diffusion d'une nouvelle variante du cheval de Troie (135 Ko) selon le même scénario que 14/08/07. Cette variante est identifiée sous les noms TR/Peed.IDU (Antivir), Win32:Tibs-BCY (Avast), SpamTool.AKB (AVG), Trojan.Peed.IDU (BitDefender), Trojan.Small-3411 (ClamAV), BackDoor.Groan (Dr.Web), Win32/Pecoan (eTrust), W32/Tibs.WZ (F-Prot), Email-Worm.Win32.Zhelatin.gn (F-Secure/Kaspersky), W32/Nuwar@MM (McAfee), Backdoor:Win32/Agent!8825 (Microsoft), W32/Tibs.dam (Norman), Trojan Horse (Symantec).

15/08/07 17h00 : diffusion d'une ancienne variante du cheval de Troie (112-113 Ko) repérée pour la première fois le 10/08/07, mais selon le nouveau scénario du 14/08/07 (donc sous le nom msdataaccess.exe). Cette variante est identifiée sous les noms WORM/Zhelatin.Gen (Antivir), Win32:Tibs-BEC (Avast), Downloader.Downloader.Tibs.7.D (AVG), Generic.Malware.FMPH@mmign.B0A26C17 (BitDefender), Trojan.Small-3376 (ClamAV), Trojan.Packed.142 (Dr.Web), Win32/Sintun.AC (eTrust), Email-Worm.Win32.Zhelatin.gq (F-Secure/Kaspersky), W32/Nuwar@MM (Mc Afee), Worm:Win32/Nuwar.WP (Microsoft), Win32/Nuwar.Gen (NOD32), Trojan.Packed.13 (Symantec).

16/08/07 : diffusion de la même ancienne variante, toujours selon le nouveau scénario du 14/08/07 (donc sous le nom msdataaccess.exe), mais en utilisant un modèle de courriel encore davantage simplifié :

Good day.

Your Friend has sent you Movie-quality e-card from superlaugh.com.

Click on your card's direct www address below:

http://76.***.***.***/

Copyright (c) 1994-2007 superlaugh.com All Rights Reserved

Le message usurpe l'identité de sites web réels et fait varier aléatoirement les dates de copyright.

17/08/07 : diffusion d'une nouvelle variante du cheval de Troie (112 Ko) en utilisant un nouveau scénario. Le troyen se présente sous la forme d'un courrier électronique intitulé "Don`t worry, be happy!", toujours sans fichier joint, le corps du message étant un court texte suggestif à caractère amoureux ou sexuel, incitant l'internaute à cliquer sur un lien hypertexte contenant une adresse IP (de la forme XX.XX.XX.XX, XX étant un nombre entre 0 et 255) :

I`m in hurry, but i still love you...
(as you can see on the ecard)
http://211.***.**.*/

Si l'internaute clique sur ce lien hypertexte, il est dirigé vers une page web qui tente d'installer automatiquement le programme malicieux en exploitant plusieurs failles de sécurité et qui incite à télécharger un programme appelé Microsoft Data Access (msdataaccess.exe), prétendument nécessaire à la visualisation d'une carte électronique :

To view your ecard, you need to have Microsoft Data Access installed on your computer. To obtain a free copy of Microsoft Data Access, please click here.

18/08/07 : diffusion de la même variante du cheval de Troie (112 Ko) via une série de courriels sans titre voire sans texte, toujours sans fichier joint, incitant l'internaute à cliquer sur un lien similaire pour télécharger des photos :

Hey man, check out these pics I took of my Ex-Wife. Man she was hot.
http://204.***.**.***/

Me and my friend had fun with the camera you sent me. Do you like em?
http://24.**.**.***/

Well you showed me yours, I guess I better show you mine, hehe. check out my pics.
http://76.***.***.**/

hey baby, I thought you might like these pictures to keep you hot till you get home.
http://69.***.***.***/

I need a real man who knows how to please me. Check out my photos. Is it you?
http://97.**.**.***/

Oh man this girl is a freak, lol. She was so wild. Check out the pics we took.
http://84.***.**.***/

I cant believe you talked me into taking these pictures, hehe. I hope you like em.
http://67.***.***.*/


I never thought I would ever take these kind of pics, but it makes me so wet. take a look, hehe.
http://24.**.***.***/

http://59.**.***.***/

Si l'internaute clique sur ce lien hypertexte, il est également dirigé vers une page web qui tente d'installer automatiquement le programme malicieux en exploitant plusieurs failles de sécurité et qui incite à télécharger le programme msdataaccess.exe, cette fois prétendument nécessaire à la visualisation d'une image :

To view your foto, you need to have Microsoft Data Access installed on your computer. To obtain a free copy of Microsoft Data Access, please click here.

Il ne faut pas cliquer sur ce lien ni télécharger le fichier msdataaccess.exe car ce programme est en réalité le cheval de Troie Storm Worm. Cette variante est identifiée sous les noms WORM/Zhelatin.Gen (Antivir), Downloader.Tibs.7.D (AVG), Trojan.Peed.IFK (BitDefender), Trojan.Small-3426 (ClamAV), Trojan.Packed.142 (Dr.Web), Win32/Sintun.AC (eTrust), Trojan:Win32/Tibs.DS (Microsoft), Mal/Dorf-E (Sophos), Trojan.Packed.13 (Symantec).

19/08/07 : diffusion d'une nouvelle variante du cheval de Troie (112 Ko) via une nouvelle série de courriers électroniques, le court texte en anglais figurant anciennement dans le message étant désormais utilisé en objet :

  • let me know if you like my pics, maybe I will send you more!
  • Well you showed me yours, I guess I better show you mine, hehe. check out my pics.
  • Hey man, check out these pics I took of my Ex-Wife. Man she was hot.
  • I never thought I would ever take these kind of pics, but it makes me so wet. take a look, hehe.
  • Do you think my bra is too tight. Maybe I should take it off. let me know what you think.
  • My friend took these pics of me, I even took some of her. wanna see?
  • I need a real man who knows how to please me. Check out my photos. Is it you?
  • I took those pictures you wanted. These will get you hot.
  • Don't tell my husband I gave you these pics. He would kill me. hehe
  • I get so wet when my friend takes pictures of me. wanna see?
  • Oh baby, I missed you so much. Here are some pics to keep you hot till I see you.
  • Oh man this girl is a freak, lol. She was so wild. Check out the pics we took.
  • I cant believe you talked me into taking these pictures, hehe. I hope you like em.
  • I bet your wife wont do this for you. come and see, ;-)
  • Oh baby, I love what you sent me. Here is some pics to say thanks.

Le corps du message en est réduit d'autant :

click http://75.**.***.***/

Comme précédemment, si l'internaute clique sur ce lien hypertexte, il est dirigé vers une page web piégée. Cette variante est identifiée sous les noms WORM/Zhelatin.Gen (Antivir), Downloader.Tibs.7.D (AVG), Trojan.Peed.IFP (BitDefender), Trojan.Small-3608 (ClamAV), Trojan.Packed.142 (Dr.Web), Win32/Sintun.AC (eTrust), Worm:Win32/Nuwar.gen (Microsoft), Mal/Dorf-E (Sophos), Trojan.Packed.13 (Symantec).

20/08/07 : diffusion d'une nouvelle variante du cheval de Troie (112 Ko) en utilisant un nouveau scénario. Dans une première série de courriers électroniques proche des précédentes, le titre est "Re:" et le corps du message variable :

I am glad you liked my pics, here.s a few you will really like. http://76.**.***.**/

You got me so hot the other night. I took these pictures when I got home. Check em out. (wink) http://24.***.**.**/

Ok, here is my picture. I loaded it up for you. Don't show anyone though. Let me know what you think. http://216.**.**.**/

Ok, here is my picture. I loaded it up for you. Don't show anyone though. Let me know what you think. http://216.**.**.**/

Si l'internaute clique sur ce lien hypertexte, il est dirigé vers une page web qui tente d'installer automatiquement le programme malicieux en exploitant plusieurs failles de sécurité et qui incite à télécharger une application appelée Microsoft ActiveX Applet (applet.exe), prétendument nécessaire à la visualisation des images :

To view your foto, you need to have Microsoft ActiveX Applet installed on your computer. To obtain a free copy of Microsoft ActiveX Applet, please click here.

Il ne faut pas cliquer sur les liens ni télécharger le fichier applet.exe car ce programme est en réalité le cheval de Troie Storm Worm. Cette variante est identifiée sous les noms WORM/Zhelatin.Gen (Antivir), Win32:Zhelatin-ANX (Avast), Downloader.Tibs.7.D (AVG), Trojan.Peed.IFS (BitDefender), Trojan.Small-3614 (ClamAV), Trojan.Packed.142 (Dr.Web), Win32/Sintun.AC (eTrust), Email-Worm.Win32.Zhelatin.gm (Kaspersky), Trojan:Win32/Tibs.DT (Microsoft), Win32/Nuwar.Gen (NOD32), Mal/Dorf-E (Sophos), Trojan.Packed.13 (Symantec).

21/08/07 02h00 : diffusion de la même variante du cheval de Troie (112 Ko) via une deuxième série de courriels plus élaborés et très réalistes, tentant de se faire passer pour un message de bienvenue à un service en ligne de thème très divers (humour, emploi, jeux, rencontre, sonneries, outils pour webmestres, vins, etc.). Le message contient de faux identifiants et incite le destinataire à cliquer sur un lien hypertexte pour changer le mot de passe par sécurité. Le message utilise une technique d'authentification anti-spam laissant penser que l'expéditeur est autorisé.

Quelques noms d'expéditeur et de service en ligne utilisés :

  • Bartenders Guide
  • Cat Lovers
  • CoolPics
  • Dog Lovers
  • Downloader Heaven
  • Entertaining Pros
  • Free Ringtones
  • Free Web Tools
  • Fun World
  • Game Connect
  • Internet Dating
  • Job Search Pros
  • Joke-A-Day
  • Mobile Fun
  • MP3 World
  • Net Gambler
  • Net-Jokes
  • Office Antics
  • Online Gamers
  • Online Hook-Up
  • Pet World
  • Poker World
  • Recipes Galore
  • Resume Hunters
  • Ringtone Heaven
  • Ringtone World
  • Web Connects
  • Web Cooking
  • Web Players
  • WebTunes
  • Wine Lovers

Quelques titres de message :

  • Dated Confirmation
  • Internet Techincal Support
  • Internal Support
  • Login Info
  • Login Information
  • Login Verification
  • Member Confirm
  • Member Details
  • Member Registration
  • Membership Details
  • Membership Support
  • New Member Confirmation
  • New User Confirmation
  • New User Details
  • New User Letter
  • New User Support
  • Please Confirm
  • Registration Confirmation
  • Registration Details
  • Secure Registration
  • Tech Department
  • Technical Support
  • Thank You For Joining
  • User Info
  • User Services
  • User Verification
  • Welcome Letter
  • Welcome New Member

Le corps du message est personnalisé en fonction de l'expéditeur :

Dear Member,

Here is your membership info for Net-Jokes.

Member Number: 351343398118
Your Temp. Login ID: user2487
Your Temp. Password ID: wi997

Be Secure. Change your Login ID and Password.

Click on the secure link or paste it to your browser: http://71.***.***.**/

Welcome,
Support Department
Net-Jokes

Dear Member,

Here is your membership info for Joke-A-Day.

User Number: 7329265943491
Your Login ID: user9884
Your Password ID: vy233

Please Change your login and change your Login Information. Follow this Link: http://69.***.**.**/

Thank You,
Welcome Department
Joke-A-Day

Welcome,

Are you ready to have fun at Job Search Pros.

Member Number: 79992234619399
Your Temp. Login ID: user1488
Temp Password ID: ha438

This Login Info will expire in 24 hours. Please Change it.

Click on the secure link or paste it to your browser: http://12.***.***.***/

Enjoy,
Membership Services
Job Search Pros

Welcome,

Here is your membership info for Bartenders Guide.

Member Number: 513953157
Temp Login ID: user1813
Your Password ID: oz604

Your temporary Login Info will expire in 24 hours. Please login and change it.

Use this link to change your Login info: http://65.**.***.**/

Welcome,
Technical Services
Bartenders Guide

Welcome,

Welcome To CoolPics.

Membership Number: 349816673
Temp Login ID: user4586
Your Password ID: rx179

Your temporary Login Info will expire in 24 hours. Please login and change it.

This link will allow you to securely change your login info: http://68.***.**.***/

Enjoy,
Technical Services
CoolPics

New Member,

Welcome To Office Antics.

Member Number: 34913845398214
Temorary Login: user9593
Your Password ID: jc164

This Login Info will expire in 24 hours. Please Change it.

Click on the secure link or paste it to your browser: http://69.***.***.***/

Thank You,
Confirmation Dept.
Office Antics

Dear Member,

We are glad you joined Online Gamers.

Membership Number: 26566648843915
Your Login ID: user7540
Your Password ID: tv518

Please keep your account secure by logging in and changing your login info.

Click here to enter our secure server: http://98.***.***.***/

Enjoy,
Membership Support Department
Online Gamers

Welcome Member,

Welcome To Free Ringtones.

Confirmation Number: 6656962259
Temp Login ID: user4488
Your Temp. Password ID: uq183

Please Change your login and change your Login Information.

Follow this Link: http://75.**.***.***/

Enjoy,
Technical Services
Free Ringtones

Welcome,

We are so happy you joined Resume Hunters.

Member Number: 56664884391587
Your Login ID: user2618
Your Password ID: ss689

For security purposes please login and change the temporary Login ID and Password.

Use this link to change your Login info: http://75.**.***.***/

Enjoy,
Internet Support
Resume Hunters

Si l'internaute clique sur le lien hypertexte, il est dirigé vers une page web qui tente d'installer automatiquement le programme malicieux en exploitant plusieurs failles de sécurité et qui incite à télécharger une application appelée Secure Login Applet (applet.exe), prétendument nécessaire à son identification :

If you do not see the Secure Login Window please install our Secure Login Applet.

Il ne faut pas cliquer sur les liens ni télécharger le fichier applet.exe car ce programme est en réalité le cheval de Troie Storm Worm. Cette variante est identifiée sous les noms WORM/Zhelatin.Gen (Antivir), Win32:Zhelatin-ANX (Avast), Downloader.Tibs.7.D (AVG), Trojan.Peed.IFS (BitDefender), Trojan.Small-3614 (ClamAV), Trojan.Packed.142 (Dr.Web), Win32/Sintun.AC (eTrust), Email-Worm.Win32.Zhelatin.gm (Kaspersky), Trojan:Win32/Tibs.DT (Microsoft), Win32/Nuwar.Gen (NOD32), Mal/Dorf-E (Sophos), Trojan.Packed.13 (Symantec).

21/08/07 15h00 : diffusion d'une nouvelle variante du cheval de Troie (112 Ko) selon le même scénario que ce matin. Cette variante est identifiée sous les noms WORM/Zhelatin.Gen (Antivir), Win32:Zhelatin-ANZ (Avast), Downloader.Tibs.7.D (AVG), Trojan.Peed.IFS (BitDefender), Fathom (ClamAV), Trojan.Packed.142 (Dr.Web), Win32/Sintun.AC (eTrust), Email-Worm.Win32.Zhelatin.hc (Kaspersky), Win32/Nuwar.Gen (NOD32), Mal/Dorf-E (Sophos), Trojan.Packed.13 (Symantec).

22/08/07 15h30 : diffusion de la même variante du cheval de Troie que 21/08/07 à 15h00 (112 Ko), via des messages au format HTML. Le lien hypertexte contenant une adresse IP (de la forme XX.XX.XX.XX, XX étant un nombre entre 0 et 255) n'est donc plus directement visible (il faut survoler le lien - sans cliquer - et regarder dans la barre des tâches du logiciel ou dans l'infobulle qui apparaît), limitant encore les risques d'éveiller les soupçons du destinataire :

Welcome,

We are so happy you joined Online Hook-Up.

Member Number: 52487267751529
Temorary Login: user5732
Temorary Password: sf133

For security purposes please login and change the temporary Login ID and Password.

This link will allow you to securely change your login info: Online Hook-Up

Enjoy,
Membership Support Department
Online Hook-Up

Greetings,

Here is your membership info for Mobile Fun.

Account Number: 673148281895
Login ID: user4774
Your Password ID: jz378

Please keep your account secure by logging in and changing your login info.

This link will allow you to securely change your login info: Mobile Fun

Welcome,
Welcome Department
Mobile Fun

Il ne faut pas cliquer sur ce lien, qui conduit toujours à une page web piégée tentant d'infecter automatiquement l'ordinateur de l'internaute et proposant de télécharger un fichier applet.exe qui est le cheval de Troie Storm Worm. Si ça n'est pas déjà fait, il est fortement recommandé de paramétrer son logiciel de messagerie de manière à ce qu'il affiche par défaut tous les messages au format texte brut (menu Outils > Options > onglet Lecture > cocher "Lire tous les messages en texte clair" dans Outlook Express ou Outils > Options > onglet Préférences > bouton Options de la messagerie > cocher "Lire tous les messages standard au format texte brut" dans Outlook).

22/08/07 22h00 : diffusion d'une nouvelle variante du cheval de Troie (138 Ko) selon le même scénario que dans l'après-midi, à la différence que la page piégée vers laquelle renvoie le lien hypertexte contenu dans le message est identique à celle du 09/07/08 ("Your Download Should Begin Shortly. If your download does not start in approximately 15 seconds, you can click here to launch the download.") et le fichier infectant proposé en téléchargement à nouveau ecard.exe. Cette variante est identifiée sous les noms WORM/Zhelatin.Gen (Antivir), Win32:Zhelatin-AOB (Avast), Downloader.Tibs.7.Q (AVG), Trojan.Tibs.CI (BitDefender), Trojan.Packed.142 (Dr.Web), Win32/Sintun.AE (eTrust), Email-Worm.Win32.Zhelatin.he (F-Secure/Kaspersky), Trojan:Win32/Tibs.gen!B (Microsoft), Win32/Nuwar.Gen (NOD32), Mal/Dorf-E (Sophos), Trojan.Packed.13 (Symantec).

23/08/07 : diffusion d'une nouvelle variante du cheval de Troie (138 Ko) selon le même scénario que 22/08/07 22h00, le nom du fichier infectant étant donc toujours ecard.exe. Cette variante est identifiée sous les noms WORM/Zhelatin.Gen (Antivir), Downloader.Tibs.7.Q (AVG), Trojan.Peed.IGF (BitDefender), Packed.Win32.Tibs.bl (F-Secure / Kaspersky), Mal/Dorf-E (Sophos), Trojan.Packed.13 (Symantec).

23/08/07 20h00 : diffusion d'une ancienne variante du cheval de Troie (98 Ko) remontant au 21/07/07 selon le même scénario que 22/08/07 22h00. Cette variante est identifiée sous les noms WORM/Zhelatin.Gen (Antivir), Win32:Tibs-BBI (Avast), Downloader.Tibs.6.U (AVG), Trojan.Peed.IAN (BitDefender), Trojan.Small-3201 (ClamAV), Trojan.Packed.142 (Dr.Web), Win32/Sintun.AB (eTrust), Trojan-Downloader.Win32.Tibs.mr (F-Secure/Kaspersky), Downloader-ASH.gen.b (Mc Afee), Trojan:Win32/Tibs.CY (Microsoft), Win32/Nuwar.Gen (NOD32), W32/Tibs.ANDB (Norman), Mal/Dorf-E (Sophos), Trojan.Packed.13 (Symantec).

24/08/07 04h30 : rediffusion de la variante du cheval de Troie (138 Ko) du 23/08/07 18h00, selon l'ancien scénario de la carte électronique mais en utilisant un message au format HTML, dans lequel l'adresse de destination du lien hypertexte n'est pas directement visible. L'expéditeur est une adresse usurpée ou générée automatiquement.

Quelques titres de messages :
  • A card for you
  • A greeting for you
  • A greeting from ...
  • An Ecard for someone special
  • Here is your E-greeting
  • Open now for your eCard
  • Someone is thinking about you.
  • Someone Made you a card
  • Someone sent you an Ecard
  • You've received an E-Greeting
  • You have a new eCard from...?
  • You Have An Ecard
  • You have received an eCard
  • This is a Card for you.
  • This is for you.

Le corps du message est variable et usurpe l'identité de sites de cartes électroniques réels (2000greetings.com, americangreetings.com, e-cards.com, ze-card.com, lakecards.com, bristos.com, netfuncards.com, lavacards.com, deepestfeelings.com, greetingsisland.com, christianet.com, egreetings.com, greet2k.com, bluemountain.com, birthdaycards.com, 123greetings.com, hallmark.com, etc.) :

[adresse électronique] has sent you an Ecard. from 2000greetings.com.

If you want to see your Ecard, follow the link below:
2000greetings.com

Have Fun,
2000greetings.com

[adresse électronique] has just delivered you this card at americangreetings.com.

To recieve your greeting, click on this link:
americangreetings.com

Sincerly,
americangreetings.com

cares enough to send you the very best from e-cards.com.

To recieve your greeting, paste this link in your web browser:
e-cards.com

Have Fun,
e-cards.com

[adresse électronique] has issued you a greeting at lakecards.com.

If you would like to see your Card, cut and paste this link in your browser:
lakecards.com

Greetings,
lakecards.com

Si l'internaute clique sur le lien hypertexte, il est dirigé vers une page web qui tente d'installer automatiquement le programme malicieux en exploitant plusieurs failles de sécurité et qui incite à télécharger un fichier ecard.exe :

Your Download Should Begin Shortly. If your download does not start in approximately 15 seconds, you can click here to launch the download.

Il ne faut pas cliquer sur ce lien ni télécharger le fichier ecard.exe car ce fichier est en réalité le cheval de Troie Storm Worm. Cette variante est identifiée sous les noms WORM/Zhelatin.Gen (Antivir), Downloader.Tibs.7.Q (AVG), Trojan.Peed.IGF (BitDefender), Trojan.Packed.142 (Dr.Web), Win32/Sintun.AE (eTrust), Packed.Win32.Tibs.bl (F-Secure / Kaspersky), Trojan:Win32/Tibs.gen!B (Microsoft), Mal/Dorf-E (Sophos), Trojan.Packed.13 (Symantec).

24/08/07 : diffusion d'une nouvelle variante (132 Ko) selon le même scénario. Cette variante est identifiée sous les noms WORM/Zhelatin.Gen (Antivir), Win32:Tibs-BEL (Avast), Downloader.Tibs.7.W (AVG), Trojan.Peed.IGK (BitDefender), Trojan.Small-3628 (ClamAV), Trojan.Packed.142 (Dr.Web), Email-Worm.Win32.Zhelatin.hi (Kaspersky), Trojan:Win32/Tibs.gen!B (Microsoft), Mal/Dorf-E (Sophos), Trojan.Packed.13 (Symantec).

25/08/07 : diffusion d'une nouvelle variante du cheval de Troie (135 Ko), selon un nouveau scénario. Il se présente désormais sous la forme d'un message invitant à regarder une vidéo YouTube et renvoyant le destinataire vers une page web piégée aux couleurs de YouTube. Pour plus d'informations, voir la fiche Zhelatin.HJ.

INFORMATIONS COMPLEMENTAIRES :
-> Abonnement gratuit à la lettre Secuser Alerte pour être prévenu de l'apparition des nouveaux hoax et virus
-> Identifier les fausses alertes virus avec Hoaxkiller.fr
-> FAQ : des dizaines de messages infectés envahissent ma boîte aux lettres. Mon ordinateur est-il contaminé? Comment arrêter ça?
-> FAQ : une alerte m'indique qu'un virus a été trouvé dans un message que j'ai envoyé. Mon ordinateur est-il infecté?
-> FAQ : comment désinfecter le répertoire C:\RESTORE?
-> FAQ : que faire dans le cas d'un fichier "uncleanable" (non nettoyable)?
-> FAQ : comment supprimer un fichier en cours d'utilisation?
-> FAQ : qu'est-ce que le partage de fichiers et comment y mettre fin?
-> Dossier Secuser.com sur les virus

 
PUBLICITE
 
RECHERCHE
Recherchez un mot-clé
dans le site Secuser.com :

 
LIENS AMIS
Hoaxkiller.fr
Ne vous laissez plus piéger par les fausses informations qui envahissent le Net.
Inoculer.com
Annuaire de logiciels gratuits pour protéger votre ordinateur.
 
  Copyright © 1998-2019 Emmanuel JUD - Tous droits réservés - Secuser est une marque déposée - Charte vie privée
Outils gratuits - Guides gratuits - Livres - Glossaire - Fils d'information - Bannières et boutons