Mytob.FT est un virus qui se propage par courrier
électronique. Il se présente sous la forme d'un message
prétendument envoyé par le fournisseur d'accès
ou l'organisation du destinataire, accompagné d'un fichier
en .zip protégé par un mot de passe fourni dans le texte.
Si le fichier contenu dans cette archive est exécuté,
le virus s'envoie aux adresses récoltées sur l'ordinateur
puis tente d'effectuer diverses actions malveillantes.
|
PREVENTION :
Les utilisateurs concernés doivent mettre à
jour leur antivirus. D'une manière générale,
même si son nom est intrigant ou attrayant il ne faut pas
exécuter un fichier douteux sans avoir fait confirmer son
envoi par l'expéditeur présumé du message puis
l'avoir analysé avec au moins un antivirus à jour.
DESINFECTION :
Avant de commencer la désinfection, il est impératif
de s'assurer avoir appliqué les mesures préventives
ci-dessus pour éviter la réinfection de l'ordinateur.
Les utilisateurs
ne disposant pas d'un antivirus peuvent utiliser l'antivirus
gratuit en ligne pour rechercher et supprimer Mytob.FT.
|
|
TYPE :
Ver
SYSTEME(S) CONCERNE(S) :
Windows
ALIAS :
TR/Crypt.XPACK.Gen (AntiVir)
Win32:Mytob-TC (Avast)
Generic7.CXR (AVG)
Generic.Malware (BitDefender)
Net-Worm.Win32.Mytob.ft (Kaspersky)
Win32/Mytob.VW (NOD32)
W32.IRCBot.Gen (Symantec)
TAILLE :
137 Ko
DECOUVERTE :
31/08/07
DESCRIPTION DETAILLEE :
Mytob.FT se présente sous la forme d'un courrier électronique
en anglais dont le titre et le corps sont variables.
L'adresse de l'expéditeur est usurpée et utilise
comme nom de domaine le nom de domaine de l'adresse du destinataire,
afin de sembler émaner de son fournisseur d'accès
ou de son organisation. Quelques exemples :
- admin@[domaine adresse destinataire] (ex. admin@wanadoo.fr si
votre FAI est Wanadoo)
- administrator@[domaine adresse destinataire] (ex. administrator@wanadoo.fr
si votre FAI est Wanadoo)
- mail@[domaine adresse destinataire] (ex. mail@hotmail.com si
votre FSI est Hotmail)
- service@[domaine adresse destinataire] (ex. service@sncf.fr
si votre société est SNCF)
- support@[domaine adresse destinataire] (ex. support@free.fr
si votre FAI est Free)
Le titre du message est variable et tente d'attirer l'attention
ou l'intérêt du destinataire. Quelques exemples :
- ALERT
- Free one year trial
- Visa and Mastercard and Amex news
- You've received an E-Card from a dear friend.
- Your account has been suspended for over usage
Le coprs du message est également variable :
Partial
message is available as a secure passworded attachment.
Please use the following password the read the attachment
Password: 2179 |
|
The
message has been sent as a secure passworded attachment.
Please use the following password the read the attachment
Password: 2721 |
|
La pièce jointe est une archive .zip (137 Ko) protégée
par un mot de passe fourni dans le texte, afin d'empêcher les
passerelles antivirus d'accéder à son contenu et donc
de pouvoir détecter le virus. Quelques exemples :
- IMPORTANT-INFO.zip
- SECURE-INFO.zip
- Secure_Details.zip
Le fichier contenu dans cette archive porte le même nom que
l'archive et comporte une extension simple ou double. Dans le premier
il tente de se faire passer pour un fichier texte ou HTML mais l'extension
apparente n'a pas de valeur car il s'agit en réalité
d'un raccourci MS-DOS. Dans le second cas il tente également
de se faire passer pour un fichier texte via un grand nombre d'espaces
entre la première extension (texte sans valeur) et la seconde
(seule véritable extension). Dans les deux cas, l'internaute
est trompé sur la véritable nature du fichier :
- IMPORTANT-INFO.txt .exe
(fichier .exe)
- IMPORTANT-INFO.txt (raccourci
MS-DOS)
- SECURE-INFO.htm (raccourci
MS-DOS)
- Secure_Details.txt .scr
(fichier .scr)
Si ce fichier est exécuté, le virus s'installe sur
le disque dur, modifie la base de registres pour s'exécuter
à chaque démarrage de l'ordinateur, s'envoie aux adresses
figurant dans le carnet d'adresses Windows et divers autres fichiers
en évitant certains destinataires et en utilisant une adresse
d'expéditeur falsifiée, puis installe une porte dérobée
autorisant la prise de contrôle à distance de l'ordinateur
infecté par un individu malveillant par un canal IRC.
05/09/07 : propagation d'une
variante du virus (36 Ko). L'expéditeur reprend toujour sle
domane de l'adresse du destinataire pour tenter de se faire passer
pour son FAI ou FSI, le corps du message est vide et le titre (exemple
"Your Membership Details!") incite à ouvrir la
pièce jointe (exemple : IMPORTANT-INFO.zip). Cette variante
est identifiée sous les noms Worm/Beloy.c (Antivir), I-Worm/Mytob.AYD
(AVG), Win32.Beloy.B@mm (BitDefender), Worm.Beloy (ClamAV), Email-Worm.Win32.Beloy.c
(F-Secure/Kaspersky), Win32/Mytob.VX (NOD32), W32/Horst.gen32 (Norman),
W32/MyDoom-Gen (Sophos).
INFORMATIONS COMPLEMENTAIRES :
-> Abonnement
gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
-> Identifier
les fausses alertes virus avec Hoaxkiller.fr
-> FAQ : des
dizaines de messages infectés envahissent ma boîte aux lettres.
Mon ordinateur est-il contaminé? Comment arrêter ça?
-> FAQ :
une alerte m'indique qu'un virus a été trouvé dans un message que
j'ai envoyé. Mon ordinateur est-il infecté?
-> FAQ : comment
désinfecter le répertoire C:\RESTORE?
-> FAQ : que
faire dans le cas d'un fichier "uncleanable" (non nettoyable)?
-> FAQ : comment
supprimer un fichier en cours d'utilisation?
-> FAQ
: qu'est-ce que le partage de fichiers et comment y mettre fin?
-> Dossier Secuser.com
sur les virus
|
