Accueil Actualités Documentation Téléchargement Vulnérabilités Phishing Hoax Virus Antivirus en ligne Contact
 
Secuser.com
 
GENERAL
Actualité du jour
Lettres d'information
Recommander ce site
Signaler un incident
Nous écrire
 
VIRUS
Alertes virus
Dossiers virus
Alertes par email
Antivirus gratuits
Antivirus en ligne
Désinfection
FAQ virus
 
PROTECTION
Alertes sécurité
Dossier firewall
Alertes par email
Firewalls gratuits
Scanner de ports
Antirootkits gratuits
Traceur IP/domaine
Windows Update
FAQ sécurité
 
PHISHING
Alertes phishing
Logiciels antiphishing
FAQ phishing
 
SPAM
Dossier spammning
Logiciels antispam
FAQ spam
 
VIE PRIVEE
Paiements en ligne
Dossier spywares
Antispywares gratuits
Vos traces sur le Net
FAQ vie privée
 
HOAX
Alertes hoax
Dossier hoax
Dossier viroax
Antihoax en ligne
FAQ hoax
 
NEWSLETTER
Recevez chaque semaine la lettre de Secuser.com :
 
 
ALERTE CONTAMINATION

Virus
Zhelatin.HJ (= Storm Worm)

Zhelatin.HJ est un virus qui se propage par courrier électronique. Avec ses multiples variantes, il fait partie de l'infection Storm Worm. Il se présente sous la forme d'un courriel sans fichier joint renvoyant le destinataire vers une page web piégée, en tentant de se faire passer pour une vidéo YouTube prétendument envoyé par un proche.
 

PREVENTION :
Les utilisateurs concernés doivent mettre à jour leur antivirus. Les utilisateurs de Windows doivent également à mettre à jour leurs logiciels afin de corriger les failles de sécurité exploitables par Zhelatin.HJ et ses variantes pour s'installer automatiquement.

DESINFECTION :
Avant de commencer la désinfection, il est impératif de s'assurer avoir appliqué les mesures préventives ci-dessus pour éviter la réinfection de l'ordinateur. Les utilisateurs ne disposant pas d'un antivirus peuvent utiliser l'antivirus gratuit en ligne pour rechercher et supprimer Zhelatin.HJ et ses variantes.


TYPE :
Ver

SYSTEME(S) CONCERNE(S) :
Windows

ALIAS :
Worm/Zhelatin.HJ (Antivir)
Win32:Tibs-BCY (Avast)
Generic6.WTZ (AVG)
Trojan.Peed.IGL (BitDefender)
Trojan.Small-3273 (ClamAV)
BackDoor.Groan (Dr.Web)
Win32.Virut.5 (Dr.Web)
Win32/Pecoan (eTrust)
Email-Worm.Win32.Zhelatin.hj (Kaspersky)
W32/Nuwar@MM (McAfee)
Trojan Horse (Symantec)
WORM_ZHELATI.MAB (Trend Micro)
Storm Worm

TAILLE :
135 Ko

DECOUVERTE :
25/08/2007

DESCRIPTION DETAILLEE :
Le virus Zhelatin.HJ se propage par courrier électronique sous la forme d'un message invitant à regarder une vidéo dont le titre et le corps sont variables, sans fichier joint, généralement envoyé par spamming. L'expéditeur du message est une adresse usurpée ou générée automatiquement. Quelques titres de message :

  • are you kidding me? lol
  • Dude dont send that stuff to my home email...
  • Dude your gonna get caught, lol
  • Dude, what if your wife finds this?
  • HAHAHAHAHAHA, man your insane!
  • how did you get that on film, man?
  • I cant belive you did this
  • LMAO, your crazy man
  • LOL, dude what are you doing
  • LOL, that is too cool.....
  • man, who filmed this thing?
  • oh man your nutz
  • ROTFLMAO, who is that your with?
  • sheesh man, what are you thinkin
  • this is too crazy, but she is hot
  • where did you hide that camera?
  • where did you hook up with that?
  • Where did you take that?
  • Who is that your with? lol

Le corps du message est un court texte au format HTML incitant à cliquer sur un lien hypertexte semblable à une adresse YouTube authentique mais dont l'adresse apparente est différente de celle présente dans le code source du message (adresse IP de la forme XX.XX.XX.XX, XX étant un nombre entre 0 et 255) :

LMAO, I cant believe you put this video online. Everyone can see your face there. LOL check it out yourself http://www.youtube.com/watch?v=4wg9KxUAiAP

Man you have got to tell me where you picked her up. I saw this on the web, it has to be you. see for yourself... http://www.youtube.com/watch?v=4rkM1gvLe8F

If your mom sees this she this video of you she is gonna freak. check it out yourself http://www.youtube.com/watch?v=5bYQ1tAeEL9

What are you thinking...if pat sees this your divorced dude. :-{) here is the link I got http://www.youtube.com/watch?v=qQ2G671GV3v

If your dad see this video you made, he is gonna kill you. take a look, lol... http://www.youtube.com/watch?v=Or78MmCPFJp

this i not good. If this video gets to her husband your both dead. check it out yourself http://www.youtube.com/watch?v=RvtkrhjJfxx

You need to take this offline, it is in everyones email. :-( go look at it... http://www.youtube.com/watch?v=YT5iVyfrel8

You can see your face right in the video. its all over the web dude. this is the link to it. http://www.youtube.com/watch?v=anw6EMp5rpp

Dude I know thats you, someone emailed me a link to the video. see for yourself... http://www.youtube.com/watch?v=tAeEL9tKRej

OMG, what are you doing man. This video of you is all over the net. go look at it... http://www.youtube.com/watch?v=44wg9KxUAiA

Si l'internaute clique sur le lien hypertexte, il n'est pas dirigé vers le site YouTube mais vers une page web piégée aux couleurs de YouTube qui tente d'installer automatiquement un programme malicieux en exploitant plusieurs failles de sécurité et qui incite à télécharger un fichier video.exe se présentant comme une vidéo à visualiser :

Your Download Should Begin Shortly. If your download does not start in approximately 15 seconds, you can click here to launch the download and then press Run.

Il ne faut pas cliquer sur ce lien ni télécharger le fichier video.exe car ce fichier est en réalité le virus Storm Worm. Si ce fichier est exécuté, le virus se copie dans le répertoire Système sous le nom spooldr.sys et le répertoire Windows sous le nom spooldr.exe, s'envoie aux adresses figurant dans divers fichiers, tente de désactiver les antivirus et logiciels de sécurité les plus populaires et ouvre une porte dérobée permettant la prise de contrôle à distance de l'ordinateur infecté par une personne malveillante, constituant un gigantesque réseau d'ordinateurs "zombies".

Dans un message au format HTML, le texte d'un lien peut prendre l'apparence d'une adresse Internet, mais seule l'adresse présente dans le code source du message est la valable et commande vers quel site sera effectivement dirigé l'internaute s'il clique sur le lien. Ci-dessous le même message au format HMTL puis au format texte brut :

Message au format HTML

Message au format texte brut

Le lien hypertexte qui paraît conduire vers le site web de YouTube ("www.youtube.com...") conduit ainsi en réalité vers une adresse IP ("24.X.XXX.XX") d'autant plus suspecte que l'auteur du message a tenté de la dissimuler. Afin d'éviter d'être abusé, il est plus que fortement recommandé de paramétrer son logiciel de messagerie de manière à ce qu'il affiche par défaut tous les messages au format texte brut (menu Outils > Options > onglet Lecture > cocher "Lire tous les messages en texte clair" dans Outlook Express ou Outils > Options > onglet Préférences > bouton Options de la messagerie > cocher "Lire tous les messages standard au format texte brut" dans Outlook).

25/08/07 : diffusion d'une ancienne variante (132 Ko) selon le même scénario. Cette variante est identifiée sous les noms WORM/Zhelatin.Gen (Antivir), Win32:Tibs-BEL (Avast), Downloader.Tibs.7.W (AVG), Trojan.Peed.IGK (BitDefender), Trojan.Small-3628 (ClamAV), Trojan.Packed.142 (Dr.Web), Email-Worm.Win32.Zhelatin.hi (Kaspersky), Trojan:Win32/Tibs.gen!B (Microsoft), Mal/Dorf-E (Sophos), Trojan.Packed.13 (Symantec).

26/08/07 : diffusion d'une nouvelle variante (138 Ko) selon le même scénario. Cette variante est identifiée sous les noms WORM/Zhelatin.Gen (Antivir), Win32:Tibs-BFG (Avast), SHeur.JJI / Downloader.Tibs.7.X (AVG), Generic.Zlob (BitDefender), Trojan.Packed.142 (Dr.Web), Win32/Sintun.AE (eTrust), Email-Worm.Win32.Zhelatin.hq (Kaspersky), Win32/Nuwar.Gen (NOD32), W32/Tibs.ARTL (Norman), Mal/Dorf-E (Sophos), Trojan.Packed.13 (Symantec).

27/08/07 : diffusion d'une nouvelle variante du virus (138 Ko) selon le même scénario. Cette variante est identifiée sous les noms WORM/Zhelatin.Gen (Antivir), Win32:Tibs-BFG (Avast), Downloader.Tibs.7.X (AVG), Generic.Zlob (BitDefender), Trojan.Small-3637 (ClamAV), Trojan.Packed.142 (Dr.Web), Win32/Sintun.AE (eTrust), Email-Worm.Win32.Zhelatin.hs (Kaspersky), Win32/Nuwar.Gen (NOD32), W32/Tibs.ASFB (Norman), Mal/Dorf-E (Sophos), Trojan.Packed.13 (Symantec).

28/08/07 : diffusion de la même variante du virus (138 Ko) selon un nouveau scénario. Storm Worm se présente désormais sous la forme d'un courriel sans fichier joint, tentant de se faire passer pour un nouveau logiciel en recherche de bêta-testeurs ou pour un nouveau codec vidéo. Pour plus d'informations, voir la fiche Zhelatin.HS.

30/08/07 : diffusion de la même variante du virus (138 Ko) selon le scénario initial d'une vidéo YouTube.

31/08/07 : diffusion de la même variante du virus (138 Ko) en utilisant les courriers électroniques de la variante Zhelatin.HS du 29/08/07 (nouveau codec vidéo) mais en renvoyant les internautes vers la fausse page YouTube.

INFORMATIONS COMPLEMENTAIRES :
-> Abonnement gratuit à la lettre Secuser Alerte pour être prévenu de l'apparition des nouveaux hoax et virus
-> Identifier les fausses alertes virus avec Hoaxkiller.fr
-> FAQ : des dizaines de messages infectés envahissent ma boîte aux lettres. Mon ordinateur est-il contaminé? Comment arrêter ça?
-> FAQ : une alerte m'indique qu'un virus a été trouvé dans un message que j'ai envoyé. Mon ordinateur est-il infecté?
-> FAQ : comment désinfecter le répertoire C:\RESTORE?
-> FAQ : que faire dans le cas d'un fichier "uncleanable" (non nettoyable)?
-> FAQ : comment supprimer un fichier en cours d'utilisation?
-> FAQ : qu'est-ce que le partage de fichiers et comment y mettre fin?
-> Dossier Secuser.com sur les virus

 
PUBLICITE
 
RECHERCHE
Recherchez un mot-clé
dans le site Secuser.com :

 
LIENS AMIS
Hoaxkiller.fr
Ne vous laissez plus piéger par les fausses informations qui envahissent le Net.
Inoculer.com
Annuaire de logiciels gratuits pour protéger votre ordinateur.
 
  Copyright © 1998-2017 Emmanuel JUD - Tous droits réservés - Secuser est une marque déposée - Charte vie privée
Outils gratuits - Guides gratuits - Livres - Glossaire - Fils d'information - Bannières et boutons