Troyen
Peacomm (= Downloader.BAI, Small.DBY, Storm Worm)

PREVENTION : Les utilisateurs concernés doivent mettre à jour leur antivirus. D'une manière générale, même si son nom est intrigant ou attrayant il ne faut pas exécuter un fichier joint douteux sans avoir fait confirmer son envoi par l'expéditeur présumé du message puis l'avoir analysé avec au moins un antivirus à jour. DESINFECTION : Avant de commencer la désinfection, il est impératif de s'assurer avoir appliqué les mesures préventives ci-dessus pour éviter la réinfection de l'ordinateur. Les utilisateurs ne disposant pas d'un antivirus peuvent utiliser l'antivirus gratuit en ligne pour rechercher et éliminer ce programme malicieux.

TYPE :
Troyen

SYSTEME(S) CONCERNE(S) :
Windows

ALIAS :
TR/Dldr.Small.DBX (AntiVir)
TR/Drop.Small.DBY (AntiVir)
TR/Small.DBY.B (AntiVir)
TR/Small.DBY.G (AntiVir)
TR/Small.DBY.I (AntiVir)
TR/Small.DBY.K (AntiVir)
TR/Small.DBY.Q (AntiVir)
TR/Small.DBY.R (AntiVir)
TR/Small.DBY.Y (AntiVir)
TR/Crypt.ULPM.Gen (AntiVir)
Win32:Tibs-AFO (Avast)
Win32:Tibs-AFP (Avast)
Win32:Tibs-AFW (Avast)
Downloader.Tibs (AVG)
Downloader.Agent.ICB (AVG)
Trojan.Agent.AHS (BitDefender)
Trojan.Peed.A (BitDefender)
Trojan.Peed.Gen (BitDefender)
Win32.Mixor.J@mm (BitDefender)
Trojan.Peed.V (BitDefender)
Trojan.Peed.W (BitDefender)
Win32/Tibs!generic (CA)
Trojan.Downloader-647 (ClamAV)
Trojan.Downloader-648 (ClamAV)
Trojan.Downloader-656 (ClamAV)
Trojan.Downloader-657 (ClamAV)
Trojan.Downloader-658 (ClamAV)
Trojan.Downloader-659 (ClamAV)
Trojan.Downloader-669 (ClamAV)
Trojan.Downloader.TaberMartyn-112 (ClamAV)
Trojan.Downloader-747 (ClamAV)
Trojan.Downloader-749 (ClamAV)
Trojan.Downloader-758 (ClamAV)
Trojan.Downloader-1297 (ClamAV)
Trojan.Downloader-1381 (ClamAV)
Trojan.Downloader.Tibs.Gen-2 (ClamAV)
Win32/Luder.L (Computer Associates)
Win32/Luder.O (Computer Associates)
Win32/Luder.U (Computer Associates)
BackDoor.Groan (DrWeb)
Trojan.Spambot (DrWeb)
Trojan.DownLoader.17755 (DrWeb)
Trojan.Packed.5 (DrWeb)
W32/Downloader.AYDY (F-Prot)
W32/Downloader.AYEN (F-Prot)
W32/Downloader.AYES (F-Prot)
W32/Downloader.AYEV (F-Prot)
W32/Downloader.AYFF (F-Prot)
W32/Tibs.RG (F-Prot)
W32/Tibs.RI (F-Prot)
Trojan-Downloader.Win32.Small.dam (F-Secure)
Trojan-Downloader.Win32.Agent.bet (F-Secure)
Email-Worm.Win32.Zhelatin.a (F-Secure)
W32/Stormy.AV (F-Secure)
Trojan-Downloader.Win32.Small.ciw (F-Secure)
Email-Worm.Win32.Zhelatin.d (F-Secure)
Email-Worm.Win32.Banwarum.l (F-Secure)
W32/Stormy.CE (F-Secure)
Email-Worm.Win32.Zhelatin.h (F-Secure)
Email-Worm.Win32.Zhelatin.k (F-Secure)
Email-Worm.Win32.Zhelatin.m (F-Secure)
Email-Worm.Win32.Zhelatin.o (F-Secure)
Email-Worm.Win32.Zhelatin.r (F-Secure)
Email-Worm.Win32.Zhelatin.t (F-Secure)
Email-Worm.Win32.Zhelatin.u (F-Secure)
Email-Worm.Win32.Zhelatin.ab (F-Secure)
Trojan-Downloader.Win32.Small.dam (Kaspersky)
Trojan-Downloader.Win32.Agent.bet (Kaspersky)
Trojan-Proxy.Win32.Lager.dp (Kaspersky)
Found Trojan-Downloader.Win32.Small.ciw (Kaspersky)
Email-Worm.Win32.Zhelatin.d (Kaspersky)
Email-Worm.Win32.Banwarum.l (Kaspersky)
Email-Worm.Win32.Zhelatin.h (Kaspersky)
Email-Worm.Win32.Zhelatin.k (Kaspersky)
Email-Worm.Win32.Zhelatin.m (Kaspersky)
Email-Worm.Win32.Zhelatin.o (Kaspersky)
Email-Worm.Win32.Zhelatin.r (Kaspersky)
Email-Worm.Win32.Zhelatin.t (Kaspersky)
Email-Worm.Win32.Zhelatin.u (Kaspersky)
Email-Worm.Win32.Zhelatin.ab (Kaspersky)
Downloader-BAI (McAfee)
Downloader-BAI.gen (McAfee)
Win32/Nuwar.Q (NOD32)
Win32/Fuclip.B (NOD32)
Win32/TrojanProxy.Lager.NAD (NOD32)
Win32/Nuwar.S (NOD32)
Win32/Nuwar.T (NOD32)
Win32/Nuwar.U (NOD32)
Win32/Nuwar.X (NOD32)
Win32/Nuwar.gen (NOD32)
W32/Tibs.gen12 (Norman)
W32/Tibs.gen19 (Norman)
W32/Tibs.gen23 (Norman)
W32/Tibs.OCW (Norman)
W32/Nuwar.D.worm (Panda Software)
W32/Nurech.A.worm (Panda Software)
Mal/HckPk-A (Sophos)
Mal/EncPk-B (Sophos)
Troj/Dorf-Fam (Sophos)
W32/Dref-V (Sophos)
W32/Dref-AA (Sophos)
Trojan.Peacomm (Symantec)
W32.Mixor.Q@mm (Symantec)
TROJ_SMALL.EDW (Trend Micro)
WORM_NUWAR.BH (Trend Micro)
WORM_NUWAR.EE (Trend Micro)
WORM_NUWAR.AAI (Trend Micro)
Storm Worm
CME-711

TAILLE :
22 à 50 Ko

DECOUVERTE :
19/01/2007

DESCRIPTION DETAILLEE :
Peacomm est un programme malicieux de type cheval de Troie, c'est-à-dire un programme hostile incapable de se multiplier et de se propager par lui-même contrairement aux virus. Il peut cependant arriver en pièce jointe d'un courrier électronique car son auteur utilise la technique du spamming pour le diffuser.

Il se présente sous la forme d'un message dont le corps est vide et dont le titre et le nom du fichier joint sont variables. Quelques titres de message :

• 230 dead as storm batters Europe.
• Naked teens attack home director.
• U.S. Secretary of State Condoleezza Rice has kicked German Chancellor Angela Merkel

La pièce jointe est un fichier dont la taille est 29 Ko (29.347 octets) :

• Full Clip.exe
• Video.exe
• Read More.exe
• Full Story.exe
• FullVideo.exe

Si ce fichier est exécuté, le troyen se copie dans le répertoire système de Windows sous le nom wincom32.sys, modifie la base de registres pour s'exécuter automatiquement à chaque démarrage de l'ordinateur, puis tente de télécharger et d'exécuter plusieurs programmes malicieux depuis une liste de sites contrôlés par son expéditeur, dont une variante du virus Nuwar/Mixor, afin de créer un botnet (réseau d'ordinateurs zombie contrôlés et manipulés à distance par une seule personne ou organisation criminelle) peer-to-peer via le port 7871/UDP ou 4000/UDP.

20/01/07 01h15 : diffusion d'une variante mineure du cheval de Troie. Quelques nouveaux titres de message :

• Sadam Hussein alive!
• Sadam Hussein safe and sound!
• Russian missle shot down Chinese aircraft
• Russian missle shot down USA satellite
• Russian missle shot down USA aircraft
• Chinese missile shot down USA aircraft
• Chinese missile shot down Russian satellite
• Chinese missile shot down Russian aircraft
• Russian missle shot down Chinese aircraft
• The commander of a U.S. nuclear submarine lunch the rocket by mistake.
• Radical Muslim drinking enemies' blood.

La pièce jointe est un fichier dont la taille est 26 Ko (26.624 octets) :

• Full News.exe
• Full Story.exe
• Read More.exe
• Full Video.exe
• Full Text.exe
• Full Clip.exe
• Video.exe
• Read News.exe

20/01/07 22h00 : diffusion d'une nouvelle variante. Quelques nouveaux titres de message :

• First Nuclear Act of Terrorism!
• Hugo Chavez dead.
• Fidel Castro dead.
• President of Russia Putin dead

La taille du fichier attaché est 31 Ko (31.395 octets).

21/01/07 11h00 : diffusion d'une nouvelle variante. Quelques nouveaux titres de message :

• Happy World Religion Day!
• Bewitching Moonlight
• Peek-A-Boo
• Only You
• Until the Day

La taille du fichier attaché est 29 ou 31 Ko. Quelques nouveaux noms de pièce jointe :

• Click Here.exe
• Greeting Postcard.exe
• flash postcard.exe
• Greeting Card.exe
• Postcard.exe
• postcard.exe
• greeting card.exe
• Flash Postcard.exe

21/01/07 17h45 : diffusion d'une nouvelle variante. Quelques nouveaux titres de message :

• That Special Love
• Wrapped in Your Arms
• Cuddle Me Please
• A Hug & Roses
• Sending You My Love

La taille du fichier attaché est 46 ou 47 Ko. Les noms de pièce jointe possibles sont :

• Greeting Postcard.exe
• flash postcard.exe
• Greeting Card.exe
• Postcard.exe
• postcard.exe
• greeting card.exe
• Flash Postcard.exe

22/01/07 17h15 : diffusion d'une nouvelle variante. Quelques titres de message :

• Emptiness Inside Me
• Want to Meet?
• Dinner Coupon
• Baby, I'll Be There
• I'll Be Your Man
• You Rock Me!
• A Romantic Place
• All For You
• A Little (sex) Card
• Our Love is Strong

La taille du fichier attaché est 47 Ko. Les noms de pièce jointe possibles sont :

• Greeting Postcard.exe
• flash postcard.exe
• Greeting Card.exe
• Postcard.exe
• postcard.exe
• greeting card.exe
• Flash Postcard.exe

24/01/07-30/01/07 : diffusion de plusieurs nouvelles variantes. Quelques titres de message :

• Heart is Breaking
• I Think of You
• Together Again
• Won't you dance with me
• Wine and Roses
• Wrapped Up
• Just You & Me
• Thinking about you
• Rose for my Love
• Against All Odds
• Made for Each Other
• Feeling Horny?
• Forever in Love
• So Unique

La taille du fichier attaché est 50 Ko.

31/01/07 : diffusion d'une nouvelle variante. Quelques titres de message :

• Just You
• Live With Me
• Why I Love You
• Steamy Sex Coupon
• Just You
• Magic of Flowers
• The Dance of Love
• Trunk Full Of Love

La taille du fichier attaché est 45 Ko.

02/02/07-09/02/07 : diffusion de plusieurs nouvelles variantes. Quelques titres de message :

• Search for One
• Rose for my Love
• So Unique
• Someone at Last
• Passionate Kiss
• 5 Reasons I Love You
• Steamy Sex Coupon
• A Little (sex) Card
• A Token of My Love
• Emptiness Inside Me
• I Give to You
• Angel of Love
• Let's Get Frisky
• Breakfast in Bed Coupon

La taille du fichier attaché est 50 Ko.

13/02/07-14/02/07 : diffusion d'une nouvelle variante relative à la Saint-Valentin. Quelques titres de message :

• For My Valentine
• A Valentine Love Song
• The Valentines Angel
• The Valentine Love Bug
• Send Love On Valentines
• My Valentine Sunshine
• Valentine Love Song
• Fly Away Valentine

La taille du fichier attaché est 49 Ko. Les noms de pièce jointe possibles sont toujours :

• Greeting Postcard.exe
• flash postcard.exe
• Greeting Card.exe
• Postcard.exe
• postcard.exe
• greeting card.exe
• Flash Postcard.exe

INFORMATIONS COMPLEMENTAIRES :
-> Abonnement gratuit à la lettre Secuser Alerte pour être prévenu de l'apparition des nouveaux hoax et virus
-> Identifier les fausses alertes virus avec Hoaxkiller.fr
-> FAQ : des dizaines de messages infectés envahissent ma boîte aux lettres. Mon ordinateur est-il contaminé? Comment arrêter ça?
-> FAQ : une alerte m'indique qu'un virus a été trouvé dans un message que j'ai envoyé. Mon ordinateur est-il infecté?
-> FAQ : comment désinfecter le répertoire C:\RESTORE?
-> FAQ : que faire dans le cas d'un fichier "uncleanable" (non nettoyable)?
-> FAQ : comment supprimer un fichier en cours d'utilisation?
-> FAQ : qu'est-ce que le partage de fichiers et comment y mettre fin?
-> Dossier Secuser.com sur les virus