IRCBot.AEX est un virus qui se propage via le logiciel
de messagerie instantanée Microsoft MSN Messenger. Il se présente
sous la forme d'un message contenant un lien vers un fichier G038_jpg.zip
ou S_00305_jpg.zip envoyé par un contact. Si le fichier contenu
dans cette archive est exécuté, le virus s'envoie à
tous les contacts MSN puis ouvre une porte dérobée permettant
la prise de contrôle distance de l'ordinateur infecté
via un canal IRC particulier.
PREVENTION :
Les utilisateurs concernés doivent mettre à
jour leur antivirus. D'une manière générale,
même si son nom est intrigant ou attrayant il ne faut pas
exécuter un fichier douteux sans avoir fait confirmer son
envoi par l'expéditeur présumé du message puis
l'avoir analysé avec au moins un antivirus à jour.
DESINFECTION :
Avant de commencer la désinfection, il est impératif
de s'assurer avoir appliqué les mesures préventives
ci-dessus pour éviter la réinfection de l'ordinateur.
Les utilisateurs
ne disposant pas d'un antivirus peuvent utiliser MSNFix
pour rechercher et supprimer IRCBot.AEX après avoir
démarré leur ordinateur en mode
sans échec.
|
|
TYPE :
Ver
SYSTEME(S) CONCERNE(S) :
Windows
ALIAS :
Worm/IRCBot.388096 (Antivir)
SHeur.ICG (AVG)
Backdoor.IrcBot.ABFF (BitDefender)
Trojan.SdBot-6756 (ClamAV)
Win32.Dloader.hs (eSafe)
Backdoor.Win32.IRCBot.aex (F-Secure)
Backdoor.Win32.IRCBot.aex (Kaspersky)
Backdoor:Win32/Rbot!4811 (Microsoft)
IRC/SdBot (NOD32)
Bck/Sdbot.LBM (Panda)
W32.Spybot.Worm (Symantec)
WORM_SDBOT.FGB (Trend Micro)
TAILLE :
380-435 Ko
DECOUVERTE :
28/07/2007
DESCRIPTION DETAILLEE :
Le virus IRCBot.AEX se propage via le logiciel MSN Messenger
et se présente sous la forme d'un message prétendument
envoyé par un contact. Quelques exemples de message :
- eeeh c mes tof :p
- c seulement mes tof de derniers vacances
- tu dois voire les tof de notre bande
- comment est-ce que je regarde sur cette photo ?
- le lol ceci est drôle
- ma soeur a voulu que tu regarde ca
- défaut de la reproduction sonore avez-vous vu ceci ?
- looooook :p
- loooooooooooool :D
- lol he looks weird on this photo
- omg check this out man this is funny
- lol you got to see this :P
Ce message contient un fichier G038_jpg.zip contenant lui-même
un fichier www.G038_jpg-msn.com ou un fichier S_00305_jpg.zip contenant
lui-même un fichier www.S_00305_jpg-msn.com. Si ce fichier
est exécuté, le virus se copie dans le répertoire
Windows respectivement sous les noms G038_jpg.zip et CDSpeed.exe
ou sous les noms S_00305_jpg.zip et SetPoint.exe, modifie la base
de registres pour s'exécuter automatiquement à chaque
démarrage de l'ordinateur, s'envoie régulièrement
à tous les contacts MSN puis ouvre une porte dérobée,
se mettant en attente d'instructions en provenance d'un canal IRC
permettant la prise de contrôle à distance de l'ordinateur.
Si vous recevez des messages semblables, c'est parce que l'ordinateur
d'au moins un de vos contacts est infecté : demandez à
vos correspondants de rechercher les fichiers G038_jpg.zip ou S_00305_jpg.zip
sur leur disque dur pour savoir s'ils sont infectés, afin
qu'ils puissent prendre les mesures nécessaires pour arrêter
de propager le virus.
INFORMATIONS COMPLEMENTAIRES :
-> Abonnement
gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
-> Identifier
les fausses alertes virus avec Hoaxkiller.fr
-> FAQ : des
dizaines de messages infectés envahissent ma boîte aux lettres.
Mon ordinateur est-il contaminé? Comment arrêter ça?
-> FAQ :
une alerte m'indique qu'un virus a été trouvé dans un message que
j'ai envoyé. Mon ordinateur est-il infecté?
-> FAQ : comment
désinfecter le répertoire C:\RESTORE?
-> FAQ : que
faire dans le cas d'un fichier "uncleanable" (non nettoyable)?
-> FAQ : comment
supprimer un fichier en cours d'utilisation?
-> FAQ
: qu'est-ce que le partage de fichiers et comment y mettre fin?
-> Dossier Secuser.com
sur les virus
|