Skipi.A
est un virus qui se propage via la fonction de "chat" du
logiciel de téléphonie Skype. Il se présente
sous la forme d'un message contenant un lien pointant en apparence
vers un fichier dsc027.jpg, prétendument envoyé par un contact. Si
le fichier est ouvert, le virus s'envoie à tous les contacts
Skype puis effectue divers actions hostiles.
PREVENTION :
Les utilisateurs concernés doivent mettre à
jour leur antivirus. D'une manière générale,
même si son nom est intrigant ou attrayant il ne faut pas
exécuter un fichier douteux sans avoir fait confirmer son
envoi par l'expéditeur présumé du message puis
l'avoir analysé avec au moins un antivirus à jour.
DESINFECTION :
Avant de commencer la désinfection, il est impératif
de s'assurer avoir appliqué les mesures préventives
ci-dessus pour éviter la réinfection de l'ordinateur.
Les utilisateurs
ne disposant pas d'un antivirus peuvent utiliser l'antivirus
gratuit en ligne pour rechercher et supprimer Skipi.A.
|
|
TYPE :
Ver
SYSTEME(S) CONCERNE(S) :
Windows
ALIAS :
Worm/Skipi.A.3 (Antivir)
Worm/Skipi.C (Antivir)
Win32:Persky-B (Avast)
I-Worm/Stration.ESS (AVG)
Win32.HLLW.Crazy.A (BitDefender)
Worm.Skipi-1 (ClamAV)
Win32.HLLW.Crazy (Dr.Web)
Win32.Skipi.c (eSafe)
W32/Skipi.C (F-Prot)
IM-Worm:W32/Skipi.A (F-Secure)
Worm.Win32.Skipi.b (F-Secure)
Worm.Win32.Skipi.c (F-Secure)
Worm.Win32.Skipi.b (Kaspersky)
Worm.Win32.Skipi.c (Kaspersky)
W32/Pykse.worm.b (McAfee)
Win32/Persky.J (NOD32)
Pykspa.E (Norman)
Mal/Behav-103 (Sophos)
W32/Pykse-C (Sophos)
W32.Pykspa.A (Symantec)
W32.Pykspa.D (Symantec)
WORM_SKIPI.A (Trend Micro)
Win32/Persky.I worm
TAILLE :
188.416 octets
DECOUVERTE :
10/09/2007
DESCRIPTION DETAILLEE :
Le virus
Skipi.A se propage via la fonction de "chat" du
logiciel de téléphonie Skype. Il se présente
sous la forme d'un court message contenant un lien hypertexte finissant
par /erotic-gallerys/usr5d8c/dsc027.jpg :
- :S
- (devil)
- (happy)
- (mm) kaip as taves noriu
- (rofl)
- a ?
- as net nezinau ka tavo vietoj daryciau.
- cia biski su photoshopu pazaidziau bet bet irgi gerai atrodai
:D
- cia tu isimetei ?
- geras ane ?
- haha lol
- how are u ? :)
- I used photoshop and edited it
- kas cia tavim taip isderge ? =]]
- labas
- look what crazy photo Tiffany sent to me,looks cool
- matai :D
- now u populr
- oh sry not for u
- oops sorry please don't look there :S
- pala biski
- patinka?
- really funny
- this (happy) sexy one
- u happy ?
- what ur friend name wich is in photo ?
- where I put ur photo :D
- you checked ?
- your photos looks realy nice
- zek kur tavo foto metos isdergta
- ziurek kur tavo foto imeciau :D
Ce lien est en réalité une redirection vers un fichier
nommé dsc027.scr, qui n'est pas une image inoffensive mais
un fichier exécutable malicieux. Si ce fichier est exécuté,
le virus se copie dans le répertoire Système sous
les noms mshtmlsh32.exe, sdrivec32.exe, winlgcverx.exe et wndrivsd32.exe,
modifie la base de registres pour s'exécuter automatiquement
à chaque démarrage de l'ordinateur, s'envoie à
tous les contacts Skype puis change le statut du logiciel Skype
en "Ne pas déranger" ("Do Not Disturb") ou "Invisible"
sans intervention de l'utilisateur.
Skipi.A tente par ailleurs de désactiver un grand nombre
de logiciels de sécurité puis modifie le fichier Host
de Windows pour interdire l'accès aux sites et mises à
jour des principaux éditeurs concernés. Il est aussi
capable de télécharger et d'exécuter d'autres
programmes malicieux depuis des sites web distants ainsi que de
se propager via les disques amovibles en s'y copiant sous les noms
game.exe et zjbs.exe puis en créant ou modifiant le fichier
autorun.inf afin que ces fichiers soit exécuté automatiquement
lors de la connexion du support à un ordinateur.
INFORMATIONS COMPLEMENTAIRES :
-> Abonnement
gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
-> Identifier
les fausses alertes virus avec Hoaxkiller.fr
-> FAQ : des
dizaines de messages infectés envahissent ma boîte aux lettres.
Mon ordinateur est-il contaminé? Comment arrêter ça?
-> FAQ :
une alerte m'indique qu'un virus a été trouvé dans un message que
j'ai envoyé. Mon ordinateur est-il infecté?
-> FAQ : comment
désinfecter le répertoire C:\RESTORE?
-> FAQ : que
faire dans le cas d'un fichier "uncleanable" (non nettoyable)?
-> FAQ : comment
supprimer un fichier en cours d'utilisation?
-> FAQ
: qu'est-ce que le partage de fichiers et comment y mettre fin?
-> Dossier Secuser.com
sur les virus
|