Tibs.CU est un virus qui se propage par courrier électronique.
Il fait partie de l'infection Storm Worm.
Comme la variante Zhelatin.KI,
il se présente sous la forme d'un message sans fichier joint
faisant la promotion d'un faux site de cartes virtuelles imitant le
site SuperLaugh.com et invitant à installer une animation représentant
un chaton rieur.
PREVENTION :
Les utilisateurs concernés doivent mettre à
jour leur antivirus. Il ne faut pas cliquer sur un lien contenu
dans un message douteux sans avoir clairement identifié
son expéditeur puis lui avoir fait le cas échéant
confirmer l'envoi du message. D'une manière générale,
même si son nom est intrigant ou attrayant il ne faut pas
exécuter un fichier d'origine douteuse.
DESINFECTION :
Avant de commencer la désinfection, il est impératif
de s'assurer avoir appliqué les mesures préventives
ci-dessus pour éviter la réinfection de l'ordinateur.
Les utilisateurs
ne disposant pas d'un antivirus peuvent utiliser l'antivirus
gratuit en ligne pour rechercher et supprimer Tibs.CU.
|
|
TYPE :
Ver
SYSTEME(S) CONCERNE(S) :
Windows
ALIAS :
Worm/Storm.twc (Antivir)
Downloader.Tibs (AVG)
Trojan.Peed.Gen (BitDefender)
Trojan.Peed.IMS (BitDefender)
Trojan.Peed-29 (ClamAV)
Trojan.Packed.193 (Dr.Web)
W32/StormWorm.G (F-Prot)
Packed.Win32.Tibs.cu (F-Secure)
Packed.Win32.Tibs.cu (Kaspersky)
Win32/Tibs.ET (Microsoft)
Mal/Behav-146 (Sophos)
Trojan.Peacomm (Symantec)
WORM_NUCRYPT.GEN (Trend Micro)
Storm Worm
TAILLE :
88 Ko
DECOUVERTE :
21/10/2007
DESCRIPTION DETAILLEE :
Le virus Tibs.CU se propage par courrier électronique
sous la forme d'un message sans fichier joint dont le titre et le
corps sont variables, généralement envoyé par
spamming.
L'expéditeur du message est une adresse électronique
usurpée ou générée automatiquement.
Quelques titres de message :
- Did you open your ecard yet?
- Ecard greeting inside!
- Here's your ecard!
- I've never laughed so hard!
- This ecard is hillarious!
- This is hilarious!
- We have a ecard for you.
- You've got a greeting just for you!
- You have yet to open your ecard.
- You won't believe this greeting!
Le corps du message est un court texte invitant le destinataire
à cliquer sur un lien hypertexte contenant une adresse IP
(de la forme XX.XX.XX.XX, XX étant un nombre entre 0 et 255)
pour visualiser une carte virtuelle :
Si l'internaute clique sur le lien, il est dirigé vers
une page web usurpant l'identité du site de cartes virtuelles
américain SuperLaugh.com, qui tente d'installer automatiquement
le programme malicieux en exploitant plusieurs failles
de sécurité et qui invite à télécharger
un fichier SuperLaugh.exe, présenté comme étant
une animation d'un chaton riant bruyamment et frénétiquement
("Laughing Psycho Kitty Cat") :
Il ne faut pas cliquer sur ce lien ni télécharger
le fichier concerné, car il s'agit en réalité
d'une variante du virus Storm Worm. Si ce fichier est exécuté,
le virus s'installe sur le disque dur, tente de désactiver
les antivirus et logiciels de sécurité les plus populaires
puis ouvre une porte dérobée permettant la prise de
contrôle à distance de l'ordinateur infecté
par une personne malveillante, constituant un gigantesque réseau
d'ordinateurs "zombies".
26/10/07
: diffusion d'une nouvelle variante du virus (109 Ko) selon le même
scénario. Le nom de la prétendue carte virtuelle diffusée
par le site malicieux est désormais KittyCard.exe. Quelques
titres de message :
- Ecard greeting inside!
- Now this is funny!
- Someone Just sent you an ecard!
- This greeting's for you!
- You have an ecard
- You have one new ecard waiting!
- You have yet to open your ecard.
Le corps du message est toujours un court texte invitant le destinataire
à cliquer sur un lien hypertexte :
Cette variante est identifiée sous les noms WORM/Zhelatin.Gen
(Antivir), Downloader.Tibs (AVG), Trojan.Peed.ING (BitDefender),
Trojan.Packed.193 (Dr.Web), W32/StormWorm.G (F-Prot), Email-Worm.Win32.Zhelatin.lj
(F-Secure / Kaspersky), Tibs-Packed (McAfee), Tibs.gen177 (Norman),
Win32/Nuwar (NOD32), Mal/Behav-146 (Sophos), Trojan.Packed.13 (Symantec).
INFORMATIONS COMPLEMENTAIRES :
-> Abonnement
gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
-> Identifier
les fausses alertes virus avec Hoaxkiller.fr
-> FAQ : des
dizaines de messages infectés envahissent ma boîte aux lettres.
Mon ordinateur est-il contaminé? Comment arrêter ça?
-> FAQ :
une alerte m'indique qu'un virus a été trouvé dans un message que
j'ai envoyé. Mon ordinateur est-il infecté?
-> FAQ : comment
désinfecter le répertoire C:\RESTORE?
-> FAQ : que
faire dans le cas d'un fichier "uncleanable" (non nettoyable)?
-> FAQ : comment
supprimer un fichier en cours d'utilisation?
-> FAQ
: qu'est-ce que le partage de fichiers et comment y mettre fin?
-> Dossier Secuser.com
sur les virus
|