Troyen
Tibs.BS (Storm Worm)

PREVENTION : Les utilisateurs concernés doivent mettre à jour leur antivirus. Il ne faut pas cliquer sur un lien contenu dans un message douteux sans avoir clairement identifié son expéditeur puis lui avoir fait le cas échéant confirmer l'envoi du message. D'une manière générale, même si son nom est intrigant ou attrayant il ne faut pas exécuter un fichier d'origine douteuse. DESINFECTION : Avant de commencer la désinfection, il est impératif de s'assurer avoir appliqué les mesures préventives ci-dessus pour éviter la réinfection de l'ordinateur. Les utilisateurs ne disposant pas d'un antivirus peuvent utiliser l'antivirus gratuit en ligne pour rechercher et supprimer Tibs.BS et ses variantes.

TYPE :
Troyen

SYSTEME(S) CONCERNE(S) :
Windows

ALIAS :
TR/PCK.Tibs.BS.112 (Antivir)
TR/PCK.Tibs.BS.240 (Antivir)
Downloader.Tibs (AVG)
Trojan.Peed.III (BitDefender)
Trojan.Peed.IIN (BitDefender)
Generic.Zlob (BitDefender)
Trojan.Small-3688 (ClamAV)
Trojan.Packed.142 (Dr.Web)
Win32/Sintun.AF (eTrust)
Tibs.gen134 (F-Secure)
Packed.Win32.Tibs.bs (F-Secure)
Packed.Win32.Tibs.bs (Kaspersky)
TrojanDropper:Win32/Nuwar.gen (Microsoft)
Tibs.gen134 (Norman)
Mal/Dorf-D (Sophos)
Storm Worm

TAILLE :
138 Ko

DECOUVERTE :
08/09/2007

DESCRIPTION DETAILLEE :
Tibs.BS est un programme malicieux de type cheval de Troie, c'est-à-dire un programme hostile incapable de se multiplier et de se propager par lui-même contrairement aux virus. Il peut cependant arriver en pièce jointe d'un courrier électronique car son auteur utilise la technique du spamming pour le diffuser.

Il se présente sous la forme d'un courrier électronique sans fichier joint dont le titre et le corps sont variables. L'expéditeur est une adresse usurpée ou générée automatiquement. Quelques titres de message :

• Are you ready for football season?
• Are you ready for some football?
• Do you have your NFL Game List?
• Football Fan Essentials
• FOOTBALL! Are You ready?
• Free NFL Game Tracker
• Get Your Free NFL Game Tracker
• NFL Game List
• NFL Season Is Here!

Le corps du message est un court texte incitant le destinataire à cliquer sur un lien hypertexte contenant une adresse IP (de la forme XX.XX.XX.XX, XX étant un nombre entre 0 et 255) pour télécharger un programme :

Si l'internaute clique sur le lien hypertexte, il est dirigé vers une page web d'apparence officielle qui incite à télécharger un programme nommé NFLTracker.exe ou tracker.exe et comporte de nombreux liens vers ce fichier, présenté comme un logiciel gratuit de collecte des résultats des matches de la NFL (National Football League) :

Il ne faut pas télécharger le fichier concerné, car il s'agit en réalité d'une variante du programme malicieux Storm Worm. Si ce fichier est exécuté, le troyen s'installe sur le disque dur, tente de désactiver les antivirus et logiciels de sécurité les plus populaires puis ouvre une porte dérobée permettant la prise de contrôle à distance de l'ordinateur infecté par une personne malveillante, constituant un gigantesque réseau d'ordinateurs "zombies".

09/09/07 : diffusion d'une nouvelle variante du cheval de Troie (138 Ko) selon le même scénario. Cette variante est identifiée sous les noms Worm/Storm.tcn / TR/PCK.Tibs.BT.168 (Antivir), Downloader.Tibs (AVG), Generic.Zlob (BitDefender), Trojan.Small-3689 (ClamAV), Trojan.Packed.142 (Dr.Web), Win32/Sintun.AF (eTrust), Packed.Win32.Tibs.bt (F-Secure / Kaspersky), TrojanDropper:Win32/Nuwar.gen (Microsoft), Tibs.gen134 (Norman), Mal/Dorf-D (Sophos), Trojan.Packed.13 (Symantec).

11/09/07 02h00 : diffusion d'une nouvelle variante du cheval de Troie (139 Ko) selon le même scénario. Cette variante est identifiée sous les noms Downloader.Tibs (AVG), Trojan.Peed.IIR (BitDefender), Trojan.Small-3691 (ClamAV), Trojan.Packed.142 (Dr.Web), Win32/Sintun.AF (eTrust), Email-Worm.Win32.Zhelatin.it (F-Secure/Kaspersky), TrojanDropper:Win32/Nuwar.gen (Microsoft), Tibs.gen134 (Norman), Mal/Dorf-D (Sophos), Trojan.Packed.13 (Symantec).

11/09/07 23h00 : diffusion d'une nouvelle variante du cheval de Troie (139 Ko) selon le même scénario. Le nom du fichier est cependant différent (NFLSeasonTracker.exe) ainsi que la page web, plus étoffée :

Cette variante est identifiée sous les noms Worm/Storm.tcp (Antivir), Win32:Tibs-BFN (Avast), Downloader.Tibs (AVG), Trojan.Peed.IIU (BitDefender), Trojan.Small-3697 (ClamAV), Trojan.Packed.142 (Dr.Web), Win32/Sintun.AF (eTrust), Email-Worm.Win32.Zhelatin.jb (F-Secure/Kaspersky), Tibs-Packed (McAfee), Trojan:Win32/Tibs.EB (Microsoft), Win32/Nuwar.Gen (NOD32), Tibs.gen134 (Norman), Mal/Dorf-D (Sophos), Trojan.Packed.13 (Symantec).

13/09/07 : tentative de diffusion du cheval de Troie via un site web dédié, semblable à celui du 11/09/07 mais avec son propre nom de domaine. Quelques exemples de courrier électronique :

Le site web concerné a cependant rapidement été fermé, le nom de domaine utilisé ayant été suspendu par son bureau d'enregistrement et les serveurs de noms paramétrés également supprimés.

INFORMATIONS COMPLEMENTAIRES :
-> Abonnement gratuit à la lettre Secuser Alerte pour être prévenu de l'apparition des nouveaux hoax et virus
-> Identifier les fausses alertes virus avec Hoaxkiller.fr
-> FAQ : des dizaines de messages infectés envahissent ma boîte aux lettres. Mon ordinateur est-il contaminé? Comment arrêter ça?
-> FAQ : une alerte m'indique qu'un virus a été trouvé dans un message que j'ai envoyé. Mon ordinateur est-il infecté?
-> FAQ : comment désinfecter le répertoire C:\RESTORE?
-> FAQ : que faire dans le cas d'un fichier "uncleanable" (non nettoyable)?
-> FAQ : comment supprimer un fichier en cours d'utilisation?
-> FAQ : qu'est-ce que le partage de fichiers et comment y mettre fin?
-> Dossier Secuser.com sur les virus