IRCBot.ACU est un virus qui se propage via le logiciel
de messagerie instantanée Microsoft MSN Messenger. Il se présente
sous la forme d'un message contenant un lien vers un fichier photos-webcam2007.zip
prétendument envoyé par un contact. Si le fichier contenu
dans cette archive est exécuté, le virus s'envoie à
tous les contacts MSN puis ouvre une porte dérobée permettant
la prise de contrôle distance de l'ordinateur infecté
via un canal IRC particulier.
PREVENTION :
Les utilisateurs concernés doivent mettre à
jour leur antivirus. D'une manière générale,
même si son nom est intrigant ou attrayant il ne faut pas
exécuter un fichier douteux sans avoir fait confirmer son
envoi par l'expéditeur présumé du message puis
l'avoir analysé avec au moins un antivirus à jour.
DESINFECTION :
Avant de commencer la désinfection, il est impératif
de s'assurer avoir appliqué les mesures préventives
ci-dessus pour éviter la réinfection de l'ordinateur.
Les utilisateurs
ne disposant pas d'un antivirus peuvent utiliser MSNFix
pour rechercher et supprimer IRCBot.ACU après avoir
démarré leur ordinateur en mode
sans échec.
|
|
TYPE :
Ver
SYSTEME(S) CONCERNE(S) :
Windows
ALIAS :
Worm/IRCBot.116224.5 (Antivir)
Win32:IrcBot-CDN (Avast)
IRC-Worm/Generic.AB (AVG)
Win32.Worm.Jfool.B (Bitdefender)
Trojan.IRCBot-1091 (ClamAV)
BackDoor.IRC.Sdbot.1703 (DrWeb)
Win32/Checkout.G (eTrust)
Backdoor.Win32.IRCBot.acu (F-Secure)
Backdoor.Win32.IRCBot.acu (Kaspersky)
W32/IRCbot.worm.gen.o (McAfee)
W32/MSNWorm.K.worm (Panda)
W32.Mubla.B (Symantec)
TAILLE :
108 Ko
DECOUVERTE :
29/07/2007
DESCRIPTION DETAILLEE :
Le virus IRCBot.ACU se propage via le logiciel MSN Messenger
et se présente sous la forme d'un message prétendument
envoyé par un contact :
- http://membres.lycos.fr/webcam2007/photos-webcam2007.zip me!!
(H)
- http://www.chatamis.net/photos-webcam2007.zip me!! (h)
Ce message contient un lien vers un fichier photos-webcam2007.zip
contenant lui-même un fichier photos2007.scr. Si ce fichier
est exécuté, le virus se copie dans le répertoire
Windows sous le nom myalbum2007.zip et dans le répertoire
System32 sous le nom sysprinters.dll, modifie la base de registres
pour s'exécuter automatiquement à chaque démarrage
de l'ordinateur, s'envoie à tous les contacts MSN puis ouvre
une porte dérobée, se mettant en attente d'instructions
en provenance d'un canal IRC particulier, de la part d'individus
malveillants.
Si vous recevez des messages semblables, c'est parce que l'ordinateur
d'au moins un de vos contacts est infecté : demandez à
vos correspondants de rechercher le fichier photos-webcam2007.zip
sur leur disque dur pour savoir s'ils sont infectés, afin
qu'ils puissent prendre les mesures nécessaires pour arrêter
de propager le virus.
INFORMATIONS COMPLEMENTAIRES :
-> Abonnement
gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
-> Identifier
les fausses alertes virus avec Hoaxkiller.fr
-> FAQ : des
dizaines de messages infectés envahissent ma boîte aux lettres.
Mon ordinateur est-il contaminé? Comment arrêter ça?
-> FAQ :
une alerte m'indique qu'un virus a été trouvé dans un message que
j'ai envoyé. Mon ordinateur est-il infecté?
-> FAQ : comment
désinfecter le répertoire C:\RESTORE?
-> FAQ : que
faire dans le cas d'un fichier "uncleanable" (non nettoyable)?
-> FAQ : comment
supprimer un fichier en cours d'utilisation?
-> FAQ
: qu'est-ce que le partage de fichiers et comment y mettre fin?
-> Dossier Secuser.com
sur les virus
|