IRCBot.ACD est un virus qui se propage via le logiciel
de messagerie instantanée Microsoft MSN Messenger. Il se présente
sous la forme d'un message contenant un lien vers un fichier myalbum2007.zip,
prétendument envoyé par un contact. Si le fichier contenu
dans cette archive est exécuté, le virus s'envoie à
tous les contacts MSN puis ouvre une porte dérobée permettant
la prise de contrôle distance de l'ordinateur infecté
via un canal IRC particulier.
PREVENTION :
Les utilisateurs concernés doivent mettre à
jour leur antivirus. D'une manière générale,
même si son nom est intrigant ou attrayant il ne faut pas
exécuter un fichier douteux sans avoir fait confirmer son
envoi par l'expéditeur présumé du message puis
l'avoir analysé avec au moins un antivirus à jour.
DESINFECTION :
Avant de commencer la désinfection, il est impératif
de s'assurer avoir appliqué les mesures préventives
ci-dessus pour éviter une réinfection. Les
utilisateurs ne disposant pas d'un antivirus peuvent utiliser
MSNFix
pour rechercher et supprimer IRCBot.ACD et ses variantes après
avoir démarré leur ordinateur en mode
sans échec.
|
|
TYPE :
Ver
SYSTEME(S) CONCERNE(S) :
Windows
ALIAS :
Worm/IRCBot.ACD (Avast)
Dropper.Delf.EL (AVG)
Trojan.Dropper.Delf.HS (Bitdefender)
Trojan.Dropper-1181 (ClamAV)
Trojan.MulDrop.7373 (DrWeb)
W32/Backdoor.AZWJ (F-Prot)
Backdoor.Win32.IRCBot.acd (F-Secure)
Backdoor.Win32.IRCBot.acd (Kaspersky)
W32/IRCbot.worm.gen.o (McAfee)
Backdoor:Win32/IRCbot.OP (Microsoft)
Win32/IRCBot.XW (NOD32)
W32/IRCBot.gen2 (Norman)
W32/IrcBot.AYK.worm (Panda)
W32.SillyIRC (Symantec)
WORM_SILLYIRC.B (Trend Micro)
TAILLE :
52 Ko
DECOUVERTE :
07/06/2007
DESCRIPTION DETAILLEE :
Le virus IRCBot.ACD se propage via le logiciel MSN Messenger
et se présente sous la forme d'un message prétendument
envoyé par un contact :
- t'as pas encore vu ces tof :P
- j'ai fais pour toi cet album de photos tu dois le voire :p
- mes photos chaudes :d
- hey regarde les tof, c'est moi et mes copains en train...
- meine heißen Fotos ! :P
- Here are my very secret pictures for you.
Ce message est accompagné d'un lien vers un fichier myalbum2007.zip
contenant un fichier photo album-2007.scr. Si ce fichier est exécuté,
le virus se copie dans le répertoire Windows sous le nom
myalbum2007.zip et dans le répertoire System32 sous le nom
sysprinters.dll, modifie la base de registres pour s'exécuter
automatiquement à chaque démarrage de l'ordinateur,
s'envoie à tous les contacts MSN puis ouvre une porte dérobée,
se mettant en attente d'instructions en provenance d'un canal IRC
particulier, de la part d'individus malveillants.
Si vous recevez des messages semblables, c'est parce que l'ordinateur
d'au moins un de vos contacts est infecté : demandez à
vos correspondants de rechercher le fichier myalbum2007.zip sur
leur disque dur pour savoir s'ils sont infectés, afin qu'ils
puissent prendre les mesures nécessaires pour arrêter
de propager le virus.
29/07/07 : propagation d'une
nouvelle variante du virus (108 Ko). Elle se présente sous
la forme d'un fichier photos-webcam2007.zip contenant un fichier
photos2007.scr. Voir la fiche IRCBot.ACU.
02/08/07 : propagation d'une
nouvelle variante du virus (114 Ko). Elle se présente sous
la forme d'un fichier Dd13.zip contenant un fichier photos-webcam63.scr.
Cette variante est identifiée sous les noms TR/SecSuite.115712
(Antivir), Generic6.AGV (AVG), Backdoor.Agent.YUV (Bitdefender),
Trojan.MulDrop.8175 (DrWeb), Win32/Checkout.H (eTrust), Backdoor.Win32.IRCBot.acd
(F-Secure/Kasperky), W32.SillyIM (Symantec).
22/08/07
: propagation d'une nouvelle variante du virus (66 Ko). Elle se
présente sous la forme d'un fichier myphotos2007.zip contenant
un fichier DSC515607.jpg-www.pictureland.com. Quelques exemples
de message :
- que pensez-vous ce picure ? je me sens que je semble laid :/
- Voici un nouveau pic de moi
- Quelques images de la semaine dernire, voient si vous les aimez
- Avez-vous vu ce picure encore ?
- Haha, est-vous ce sur cette image ?
- Si j'emploient cette image sur le msn ?
- Que pensez-vous mon image ?
- What do you think of this picure? i feel i look ugly :/
- Here's a new pic of me some pictures from my holyday :p
- have u seen this picture? if not, se..
- Haha, is that you on that picture?
- lol, picture off a friend naked, just found it on a website,
do you know here?
- How do i look at this picture?
Cette variante est identifiée sous les noms Backdoor.Win32.IRCBot.acd
(F-Secure/Kasperky), W32/IRCBot-XL (Sophos), W32.Silly!gen (Symantec),
WORM_IRCBOT.AJY(Trend Micro). Si le virus est exécuté,
il se copie dans le répertoire Windows sous les noms newsystem25.dll
et myphotos2007.zip. Pour supprimer IRCBot.ACD, il est nécessaire
de redémarrer son ordinateur en mode
sans échec avant de lancer l'analyse par l'antivirus.
INFORMATIONS COMPLEMENTAIRES :
-> Abonnement
gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
-> Identifier
les fausses alertes virus avec Hoaxkiller.fr
-> FAQ : des
dizaines de messages infectés envahissent ma boîte aux lettres.
Mon ordinateur est-il contaminé? Comment arrêter ça?
-> FAQ :
une alerte m'indique qu'un virus a été trouvé dans un message que
j'ai envoyé. Mon ordinateur est-il infecté?
-> FAQ : comment
désinfecter le répertoire C:\RESTORE?
-> FAQ : que
faire dans le cas d'un fichier "uncleanable" (non nettoyable)?
-> FAQ : comment
supprimer un fichier en cours d'utilisation?
-> FAQ
: qu'est-ce que le partage de fichiers et comment y mettre fin?
-> Dossier Secuser.com
sur les virus
|