Peacomm est un programme malicieux de type cheval
de Troie. Avec ses multiples variantes, il fait partie de l'infection
Storm Worm destinée à contaminer
un maximum d'ordinateurs. Il se présente sous la forme d'un courriel
vide accompagné d'un fichier dont l'extension est .exe, en
tentant de se faire passer notamment pour une dépêche
d'actualité, une carte de voeux virtuelle
ou un message à caractère sexuel
ou en référence à la Saint-Valentin.
PREVENTION :
Les utilisateurs concernés doivent mettre à
jour leur antivirus. D'une manière générale,
même si son nom est intrigant ou attrayant il ne faut pas
exécuter un fichier joint douteux sans avoir fait confirmer
son envoi par l'expéditeur présumé du message
puis l'avoir analysé avec au moins un antivirus à jour.
DESINFECTION :
Avant de commencer la désinfection, il est impératif
de s'assurer avoir appliqué les mesures préventives
ci-dessus pour éviter la réinfection de l'ordinateur.
Les utilisateurs
ne disposant pas d'un antivirus peuvent utiliser l'antivirus
gratuit en ligne pour rechercher et éliminer ce
programme malicieux.
|
|
TYPE :
Troyen
SYSTEME(S) CONCERNE(S) :
Windows
ALIAS :
TR/Dldr.Small.DBX (AntiVir)
TR/Drop.Small.DBY (AntiVir)
TR/Small.DBY.B (AntiVir)
TR/Small.DBY.G (AntiVir)
TR/Small.DBY.I (AntiVir)
TR/Small.DBY.K (AntiVir)
TR/Small.DBY.Q (AntiVir)
TR/Small.DBY.R (AntiVir)
TR/Small.DBY.Y (AntiVir)
TR/Crypt.ULPM.Gen (AntiVir)
Win32:Tibs-AFO (Avast)
Win32:Tibs-AFP (Avast)
Win32:Tibs-AFW (Avast)
Downloader.Tibs (AVG)
Downloader.Agent.ICB (AVG)
Trojan.Agent.AHS (BitDefender)
Trojan.Peed.A (BitDefender)
Trojan.Peed.Gen (BitDefender)
Win32.Mixor.J@mm (BitDefender)
Trojan.Peed.V (BitDefender)
Trojan.Peed.W (BitDefender)
Win32/Tibs!generic (CA)
Trojan.Downloader-647 (ClamAV)
Trojan.Downloader-648 (ClamAV)
Trojan.Downloader-656 (ClamAV)
Trojan.Downloader-657 (ClamAV)
Trojan.Downloader-658 (ClamAV)
Trojan.Downloader-659 (ClamAV)
Trojan.Downloader-669 (ClamAV)
Trojan.Downloader.TaberMartyn-112 (ClamAV)
Trojan.Downloader-747 (ClamAV)
Trojan.Downloader-749 (ClamAV)
Trojan.Downloader-758 (ClamAV)
Trojan.Downloader-1297 (ClamAV)
Trojan.Downloader-1381 (ClamAV)
Trojan.Downloader.Tibs.Gen-2 (ClamAV)
Win32/Luder.L (Computer Associates)
Win32/Luder.O (Computer Associates)
Win32/Luder.U (Computer Associates)
BackDoor.Groan (DrWeb)
Trojan.Spambot (DrWeb)
Trojan.DownLoader.17755 (DrWeb)
Trojan.Packed.5 (DrWeb)
W32/Downloader.AYDY (F-Prot)
W32/Downloader.AYEN (F-Prot)
W32/Downloader.AYES (F-Prot)
W32/Downloader.AYEV (F-Prot)
W32/Downloader.AYFF (F-Prot)
W32/Tibs.RG (F-Prot)
W32/Tibs.RI (F-Prot)
Trojan-Downloader.Win32.Small.dam (F-Secure)
Trojan-Downloader.Win32.Agent.bet (F-Secure)
Email-Worm.Win32.Zhelatin.a (F-Secure)
W32/Stormy.AV (F-Secure)
Trojan-Downloader.Win32.Small.ciw (F-Secure)
Email-Worm.Win32.Zhelatin.d (F-Secure)
Email-Worm.Win32.Banwarum.l (F-Secure)
W32/Stormy.CE (F-Secure)
Email-Worm.Win32.Zhelatin.h (F-Secure)
Email-Worm.Win32.Zhelatin.k (F-Secure)
Email-Worm.Win32.Zhelatin.m (F-Secure)
Email-Worm.Win32.Zhelatin.o (F-Secure)
Email-Worm.Win32.Zhelatin.r (F-Secure)
Email-Worm.Win32.Zhelatin.t (F-Secure)
Email-Worm.Win32.Zhelatin.u (F-Secure)
Email-Worm.Win32.Zhelatin.ab (F-Secure)
Trojan-Downloader.Win32.Small.dam (Kaspersky)
Trojan-Downloader.Win32.Agent.bet (Kaspersky)
Trojan-Proxy.Win32.Lager.dp (Kaspersky)
Found Trojan-Downloader.Win32.Small.ciw (Kaspersky)
Email-Worm.Win32.Zhelatin.d (Kaspersky)
Email-Worm.Win32.Banwarum.l (Kaspersky)
Email-Worm.Win32.Zhelatin.h (Kaspersky)
Email-Worm.Win32.Zhelatin.k (Kaspersky)
Email-Worm.Win32.Zhelatin.m (Kaspersky)
Email-Worm.Win32.Zhelatin.o (Kaspersky)
Email-Worm.Win32.Zhelatin.r (Kaspersky)
Email-Worm.Win32.Zhelatin.t (Kaspersky)
Email-Worm.Win32.Zhelatin.u (Kaspersky)
Email-Worm.Win32.Zhelatin.ab (Kaspersky)
Downloader-BAI (McAfee)
Downloader-BAI.gen (McAfee)
Win32/Nuwar.Q (NOD32)
Win32/Fuclip.B (NOD32)
Win32/TrojanProxy.Lager.NAD (NOD32)
Win32/Nuwar.S (NOD32)
Win32/Nuwar.T (NOD32)
Win32/Nuwar.U (NOD32)
Win32/Nuwar.X (NOD32)
Win32/Nuwar.gen (NOD32)
W32/Tibs.gen12 (Norman)
W32/Tibs.gen19 (Norman)
W32/Tibs.gen23 (Norman)
W32/Tibs.OCW (Norman)
W32/Nuwar.D.worm (Panda Software)
W32/Nurech.A.worm (Panda Software)
Mal/HckPk-A (Sophos)
Mal/EncPk-B (Sophos)
Troj/Dorf-Fam (Sophos)
W32/Dref-V (Sophos)
W32/Dref-AA (Sophos)
Trojan.Peacomm (Symantec)
W32.Mixor.Q@mm (Symantec)
TROJ_SMALL.EDW (Trend Micro)
WORM_NUWAR.BH (Trend Micro)
WORM_NUWAR.EE (Trend Micro)
WORM_NUWAR.AAI (Trend Micro)
Storm Worm
CME-711
TAILLE :
22 à 50 Ko
DECOUVERTE :
19/01/2007
DESCRIPTION DETAILLEE :
Peacomm est un programme malicieux de type cheval de Troie,
c'est-à-dire un programme hostile incapable de se multiplier et
de se propager par lui-même contrairement aux virus. Il peut cependant
arriver en pièce jointe d'un courrier électronique
car son auteur utilise la technique du spamming
pour le diffuser.
Il se présente sous la forme d'un message dont le corps
est vide et dont le titre et le nom du fichier joint sont variables.
Quelques titres de message :
- 230 dead as storm batters Europe.
- Naked teens attack home director.
- U.S. Secretary of State Condoleezza Rice has kicked German Chancellor
Angela Merkel
La pièce jointe est un fichier dont la taille est 29 Ko
(29.347 octets) :
- Full Clip.exe
- Video.exe
- Read More.exe
- Full Story.exe
- FullVideo.exe
Si ce fichier est exécuté, le troyen se copie dans
le répertoire système de Windows sous le nom wincom32.sys,
modifie la base de registres pour s'exécuter automatiquement
à chaque démarrage de l'ordinateur, puis tente de
télécharger et d'exécuter plusieurs programmes
malicieux depuis une liste de sites contrôlés par son
expéditeur, dont une variante du virus Nuwar/Mixor, afin
de créer un botnet (réseau d'ordinateurs zombie contrôlés
et manipulés à distance par une seule personne ou
organisation criminelle) peer-to-peer via le port 7871/UDP ou 4000/UDP.
20/01/07 01h15
: diffusion d'une variante mineure du cheval de Troie. Quelques
nouveaux titres de message :
- Sadam Hussein alive!
- Sadam Hussein safe and sound!
- Russian missle shot down Chinese aircraft
- Russian missle shot down USA satellite
- Russian missle shot down USA aircraft
- Chinese missile shot down USA aircraft
- Chinese missile shot down Russian satellite
- Chinese missile shot down Russian aircraft
- Russian missle shot down Chinese aircraft
- The commander of a U.S. nuclear submarine lunch the rocket by
mistake.
- Radical Muslim drinking enemies' blood.
La pièce jointe est un fichier dont la taille est 26 Ko
(26.624 octets) :
- Full News.exe
- Full Story.exe
- Read More.exe
- Full Video.exe
- Full Text.exe
- Full Clip.exe
- Video.exe
- Read News.exe
20/01/07 22h00
: diffusion d'une nouvelle variante. Quelques nouveaux titres
de message :
- First Nuclear Act of Terrorism!
- Hugo Chavez dead.
- Fidel Castro dead.
- President of Russia Putin dead
La taille du fichier attaché est 31 Ko (31.395 octets).
21/01/07 11h00
: diffusion d'une nouvelle variante. Quelques nouveaux titres
de message :
- Happy World Religion Day!
- Bewitching Moonlight
- Peek-A-Boo
- Only You
- Until the Day
La taille du fichier attaché est 29 ou 31 Ko. Quelques
nouveaux noms de pièce jointe :
- Click Here.exe
- Greeting Postcard.exe
- flash postcard.exe
- Greeting Card.exe
- Postcard.exe
- postcard.exe
- greeting card.exe
- Flash Postcard.exe
21/01/07 17h45
: diffusion d'une nouvelle variante. Quelques nouveaux titres
de message :
- That Special Love
- Wrapped in Your Arms
- Cuddle Me Please
- A Hug & Roses
- Sending You My Love
La taille du fichier attaché est 46 ou 47 Ko. Les noms
de pièce jointe possibles sont :
- Greeting Postcard.exe
- flash postcard.exe
- Greeting Card.exe
- Postcard.exe
- postcard.exe
- greeting card.exe
- Flash Postcard.exe
22/01/07 17h15
: diffusion d'une nouvelle variante. Quelques titres de message
:
- Emptiness Inside Me
- Want to Meet?
- Dinner Coupon
- Baby, I'll Be There
- I'll Be Your Man
- You Rock Me!
- A Romantic Place
- All For You
- A Little (sex) Card
- Our Love is Strong
La taille du fichier attaché est 47 Ko. Les noms de pièce
jointe possibles sont :
- Greeting Postcard.exe
- flash postcard.exe
- Greeting Card.exe
- Postcard.exe
- postcard.exe
- greeting card.exe
- Flash Postcard.exe
24/01/07-30/01/07
: diffusion de plusieurs nouvelles variantes. Quelques titres
de message :
- Heart is Breaking
- I Think of You
- Together Again
- Won't you dance with me
- Wine and Roses
- Wrapped Up
- Just You & Me
- Thinking about you
- Rose for my Love
- Against All Odds
- Made for Each Other
- Feeling Horny?
- Forever in Love
- So Unique
La taille du fichier attaché est 50 Ko.
31/01/07
: diffusion d'une nouvelle variante. Quelques titres de message
:
- Just You
- Live With Me
- Why I Love You
- Steamy Sex Coupon
- Just You
- Magic of Flowers
- The Dance of Love
- Trunk Full Of Love
La taille du fichier attaché est 45 Ko.
02/02/07-09/02/07
: diffusion de plusieurs nouvelles variantes. Quelques titres
de message :
- Search for One
- Rose for my Love
- So Unique
- Someone at Last
- Passionate Kiss
- 5 Reasons I Love You
- Steamy Sex Coupon
- A Little (sex) Card
- A Token of My Love
- Emptiness Inside Me
- I Give to You
- Angel of Love
- Let's Get Frisky
- Breakfast in Bed Coupon
La taille du fichier attaché est 50 Ko.
13/02/07-14/02/07
: diffusion d'une nouvelle variante relative à la Saint-Valentin.
Quelques titres de message :
- For My Valentine
- A Valentine Love Song
- The Valentines Angel
- The Valentine Love Bug
- Send Love On Valentines
- My Valentine Sunshine
- Valentine Love Song
- Fly Away Valentine
La taille du fichier attaché est 49 Ko. Les noms de pièce
jointe possibles sont toujours :
- Greeting Postcard.exe
- flash postcard.exe
- Greeting Card.exe
- Postcard.exe
- postcard.exe
- greeting card.exe
- Flash Postcard.exe
INFORMATIONS COMPLEMENTAIRES :
-> Abonnement
gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
-> Identifier
les fausses alertes virus avec Hoaxkiller.fr
-> FAQ : des
dizaines de messages infectés envahissent ma boîte aux lettres.
Mon ordinateur est-il contaminé? Comment arrêter ça?
-> FAQ :
une alerte m'indique qu'un virus a été trouvé dans un message que
j'ai envoyé. Mon ordinateur est-il infecté?
-> FAQ : comment
désinfecter le répertoire C:\RESTORE?
-> FAQ : que
faire dans le cas d'un fichier "uncleanable" (non nettoyable)?
-> FAQ : comment
supprimer un fichier en cours d'utilisation?
-> FAQ
: qu'est-ce que le partage de fichiers et comment y mettre fin?
-> Dossier Secuser.com
sur les virus
|