Sdbot.BTI est un virus qui se propage via le logiciel
de messagerie instantanée Microsoft MSN Messenger. Il se présente
sous la forme d'un message contenant un fichier Z058_jpg.zip prétendument
envoyé par un contact. Si le fichier contenu dans cette archive
est exécuté, le virus s'envoie à tous les contacts
MSN puis ouvre une porte dérobée permettant la prise
de contrôle distance de l'ordinateur infecté via un canal
IRC particulier.
PREVENTION :
Les utilisateurs concernés doivent mettre à
jour leur antivirus. D'une manière générale,
même si son nom est intrigant ou attrayant il ne faut pas
exécuter un fichier douteux sans avoir fait confirmer son
envoi par l'expéditeur présumé du message puis
l'avoir analysé avec au moins un antivirus à jour.
DESINFECTION :
Avant de commencer la désinfection, il est impératif
de s'assurer avoir appliqué les mesures préventives
ci-dessus pour éviter la réinfection de l'ordinateur.
Les utilisateurs
ne disposant pas d'un antivirus peuvent utiliser MSNFix
pour rechercher et supprimer Sdbot.BTI après avoir
démarré leur ordinateur en mode
sans échec.
|
|
TYPE :
Ver
SYSTEME(S) CONCERNE(S) :
Windows
ALIAS :
Worm/Sdbot.541696.1 (Antivir)
SHeur.KYL (AVG)
Backdoor.Sdbot.DEWR (BitDefender)
Trojan.SdBot-6978 (ClamAV)
BackDoor.IRC.Sdbot.1831 (Dr.Web)
Win32/VMalum.JHL (eTrust)
Backdoor.SdBot.bti (Ewido)
Backdoor.Win32.SdBot.bti (F-Secure)
Backdoor.Win32.SdBot.bti (Kaspersky)
W32/Sdbot.worm.gen.ca (Mc Afee)
Win32/Ircbrute!305E (Microsoft)
IRC/SdBot (NOD32)
W32/SDBot.AXDQ (Norman)
W32/IrcBot.BDY.worm (Panda)
W32.Spybot.Worm (Symantec)
WORM_SDBOT.FEJ (Trend Micro)
TAILLE :
541.696 octets
DECOUVERTE :
05/09/2007
DESCRIPTION DETAILLEE :
Le virus Sdbot.BTI se propage via le logiciel MSN Messenger
et se présente sous la forme d'un message prétendument
envoyé par un contact. Quelques exemples de message :
- eeeh c mes tof :p
- c seulement mes tof de derniers vacances
- tu dois voire les tof de notre bande
- comment est-ce que je regarde sur cette photo ?
- le lol ceci est drôle
- ma soeur a voulu que tu regarde ca
- défaut de la reproduction sonore avez-vous vu ceci ?
- looooook :p
- loooooooooooool :D
- lol he looks weird on this photo
- omg check this out man this is funny
- lol you got to see this :P
Ce message contient un fichier Z058_jpg.zip contenant lui-même
un fichier www.Z058_jpg-msn.com. Si ce fichier est exécuté,
le virus se copie dans le répertoire Windows sous les noms
Z058_jpg.zip et wdfmgr.exe, modifie la base de registres pour s'exécuter
automatiquement à chaque démarrage de l'ordinateur,
s'envoie régulièrement à tous les contacts
MSN puis ouvre une porte dérobée, permettant la prise
de contrôle à distance de l'ordinateur.
Si vous recevez des messages semblables, c'est parce que l'ordinateur
d'au moins un de vos contacts est infecté : demandez à
vos correspondants de rechercher le fichier Z058_jpg.zip sur leur
disque dur pour savoir s'ils sont infectés, afin qu'ils puissent
prendre les mesures nécessaires pour arrêter de propager
le virus.
INFORMATIONS COMPLEMENTAIRES :
-> Abonnement
gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
-> Identifier
les fausses alertes virus avec Hoaxkiller.fr
-> FAQ : des
dizaines de messages infectés envahissent ma boîte aux lettres.
Mon ordinateur est-il contaminé? Comment arrêter ça?
-> FAQ :
une alerte m'indique qu'un virus a été trouvé dans un message que
j'ai envoyé. Mon ordinateur est-il infecté?
-> FAQ : comment
désinfecter le répertoire C:\RESTORE?
-> FAQ : que
faire dans le cas d'un fichier "uncleanable" (non nettoyable)?
-> FAQ : comment
supprimer un fichier en cours d'utilisation?
-> FAQ
: qu'est-ce que le partage de fichiers et comment y mettre fin?
-> Dossier Secuser.com
sur les virus
|