Virus
Sdbot.CHA (Dance_dec_jpg.zip)

PREVENTION : Les utilisateurs concernés doivent mettre à jour leur antivirus. D'une manière générale, même si son nom est intrigant ou attrayant il ne faut pas exécuter un fichier douteux sans avoir fait confirmer son envoi par l'expéditeur présumé du message puis l'avoir analysé avec au moins un antivirus à jour. DESINFECTION : Avant de commencer la désinfection, il est impératif de s'assurer avoir appliqué les mesures préventives ci-dessus pour éviter la réinfection de l'ordinateur. Les utilisateurs ne disposant pas d'un antivirus peuvent utiliser l'outil de désinfection MSNFix pour rechercher et supprimer Sdbot.CHA.

TYPE :
Ver

SYSTEME(S) CONCERNE(S) :
Windows

ALIAS :
HEUR/Crypted (Antivir)
Worm/IrcBot.559616 (Antivir)
IRC/BackDoor.SdBot3.UYA (AVG)
Backdoor.Sdbot.BNI (BitDefender)
PUA.Packed.Themida (ClamAV)
BackDoor.IRC.Sdbot.2091 (Dr.Web)
Win32.SdBot.cha (eSafe)
Win32/Petribot.ASG (eTrust)
W32/Sdbot.AEEK (F-Prot)
SDBot.gen9 (F-Secure)
Backdoor.Win32.SdBot.cha (Kaspersky)
W32/Sdbot.worm.gen.ca (Mc Afee)
Backdoor:Win32/Sdbot (Microsoft)
IRC/SdBot (NOD32)
SDBot.gen9 (Norman)
W32/Sdbot.LJF.worm (Panda)

TAILLE :
547 Ko

DECOUVERTE :
08/11/2007

DESCRIPTION DETAILLEE :
Le virus Sdbot.CHA se propage via le logiciel MSN Messenger et se présente sous la forme d'un message envoyé en apparence par un contact connecté. En réalité, le message est envoyé par le virus lui-même, après avoir pris le contrôle du logiciel de messagerie instantanée de sa victime, à son insu. Quelques exemples de message :

• eeeh c mes tof :p
• c seulement mes tof de derniers vacances
• tu dois voire les tof de notre bande
• comment est-ce que je regarde sur cette photo ?
• le lol ceci est drôle
• ma soeur a voulu que tu regarde ca
• défaut de la reproduction sonore avez-vous vu ceci ?
• n'imagine pas ce que je dis mais ce que je fais
• looooook :p
• loooooooooooool :D
• lol he looks weird on this photo
• omg check this out man this is funny
• lol you got to see this :P

Ce message contient un lien vers un fichier Dance_dec_jpg.zip. Cette archive contient elle-même un fichier www.Dance_dec_jpg_msn.com, qui a l'apparence d'une adresse Internet, mais qui est un fichier exécutable :

Si ce fichier est exécuté, le virus se copie sur le disque dur sous les noms et aux emplacements suivants :

• C:\Windows\Dance_dec_jpg.zip
• C:\Windows\ccSvcHst.exe

Sdbot.CHA modifie ensuite la base de registres pour s'exécuter automatiquement à chaque démarrage de l'ordinateur, s'envoie à tous les contacts MSN en indiquant aux destinataires que l'expéditeur est absent (afin de les dissuader de vérifier la véracité de cet envoi auprès du contact concerné) puis ouvre une porte dérobée, se mettant en attente d'instructions qui permettent la prise de contrôle à distance de l'ordinateur par un individu malveillant.

Si vous recevez des messages semblables, c'est parce que l'ordinateur d'au moins un de vos contacts est infecté : afin de stopper la réception des fichiers contaminés et la propagation du virus, contactez la personne indiquée comme expéditrice des messages par Messenger ou par courriel pour l'informer que son ordinateur envoie des virus, afin qu'elle puisse procéder à une désinfection, et demandez-lui de contacter l'ensemble de ses propres contacts, pour les prévenir de ne pas ouvrir les fichiers Dance_dec_jpg.zip reçus ou de désinfecter leur ordinateur (les contacts concernés peuvent rechercher le fichier Dance_dec_jpg.zip sur leur disque dur pour savoir s'ils sont infectés).

INFORMATIONS COMPLEMENTAIRES :
-> Abonnement gratuit à la lettre Secuser Alerte pour être prévenu de l'apparition des nouveaux hoax et virus
-> Identifier les fausses alertes virus avec Hoaxkiller.fr
-> FAQ : des dizaines de messages infectés envahissent ma boîte aux lettres. Mon ordinateur est-il contaminé? Comment arrêter ça?
-> FAQ : une alerte m'indique qu'un virus a été trouvé dans un message que j'ai envoyé. Mon ordinateur est-il infecté?
-> FAQ : comment désinfecter le répertoire C:\RESTORE?
-> FAQ : que faire dans le cas d'un fichier "uncleanable" (non nettoyable)?
-> FAQ : comment supprimer un fichier en cours d'utilisation?
-> FAQ : qu'est-ce que le partage de fichiers et comment y mettre fin?
-> Dossier Secuser.com sur les virus