Zhelatin.HJ est un virus qui se propage par courrier
électronique. Avec ses multiples variantes, il fait partie
de l'infection Storm Worm. Il se présente
sous la forme d'un courriel sans fichier joint renvoyant le destinataire
vers une page web piégée, en tentant de se faire passer
pour une vidéo YouTube prétendument envoyé par
un proche.
|
PREVENTION :
Les utilisateurs concernés doivent mettre à
jour leur antivirus. Les utilisateurs de Windows doivent également
à mettre à jour leurs logiciels afin de corriger
les failles de sécurité
exploitables par
Zhelatin.HJ et ses variantes pour s'installer automatiquement.
DESINFECTION :
Avant de commencer la désinfection, il est impératif
de s'assurer avoir appliqué les mesures préventives
ci-dessus pour éviter la réinfection de l'ordinateur.
Les utilisateurs
ne disposant pas d'un antivirus peuvent utiliser l'antivirus
gratuit en ligne pour rechercher et supprimer Zhelatin.HJ
et ses variantes.
|
|
TYPE :
Ver
SYSTEME(S) CONCERNE(S) :
Windows
ALIAS :
Worm/Zhelatin.HJ (Antivir)
Win32:Tibs-BCY (Avast)
Generic6.WTZ (AVG)
Trojan.Peed.IGL (BitDefender)
Trojan.Small-3273 (ClamAV)
BackDoor.Groan (Dr.Web)
Win32.Virut.5 (Dr.Web)
Win32/Pecoan (eTrust)
Email-Worm.Win32.Zhelatin.hj (Kaspersky)
W32/Nuwar@MM (McAfee)
Trojan Horse (Symantec)
WORM_ZHELATI.MAB (Trend Micro)
Storm Worm
TAILLE :
135 Ko
DECOUVERTE :
25/08/2007
DESCRIPTION DETAILLEE :
Le virus Zhelatin.HJ se propage par courrier électronique
sous la forme d'un message invitant à regarder une vidéo dont le
titre et le corps sont variables, sans fichier joint, généralement
envoyé par spamming.
L'expéditeur du message est une adresse usurpée ou
générée automatiquement. Quelques titres de
message :
- are you kidding me? lol
- Dude dont send that stuff to my home email...
- Dude your gonna get caught, lol
- Dude, what if your wife finds this?
- HAHAHAHAHAHA, man your insane!
- how did you get that on film, man?
- I cant belive you did this
- LMAO, your crazy man
- LOL, dude what are you doing
- LOL, that is too cool.....
- man, who filmed this thing?
- oh man your nutz
- ROTFLMAO, who is that your with?
- sheesh man, what are you thinkin
- this is too crazy, but she is hot
- where did you hide that camera?
- where did you hook up with that?
- Where did you take that?
- Who is that your with? lol
Le corps du message est un court texte au format HTML incitant
à cliquer sur un lien hypertexte semblable à une adresse
YouTube authentique mais dont l'adresse apparente est différente
de celle présente dans le code source du message (adresse
IP de la forme XX.XX.XX.XX, XX étant un nombre entre 0 et
255) :
Si l'internaute clique sur le lien hypertexte,
il n'est pas dirigé vers le site YouTube mais vers une page
web piégée aux couleurs de YouTube qui tente d'installer
automatiquement un programme malicieux en exploitant plusieurs failles
de sécurité et qui incite à télécharger
un fichier video.exe se présentant comme une vidéo
à visualiser :
Il ne faut pas cliquer sur ce lien ni télécharger
le fichier video.exe car ce fichier est en réalité
le virus Storm Worm. Si ce fichier est exécuté, le
virus se copie dans le répertoire Système sous le
nom spooldr.sys et le répertoire Windows sous le nom spooldr.exe,
s'envoie aux adresses figurant dans divers fichiers, tente de désactiver
les antivirus et logiciels de sécurité les plus populaires
et ouvre une porte dérobée permettant la prise de
contrôle à distance de l'ordinateur infecté
par une personne malveillante, constituant un gigantesque réseau
d'ordinateurs "zombies".
Dans un message au format HTML, le texte d'un lien peut prendre
l'apparence d'une adresse Internet, mais seule l'adresse présente
dans le code source du message est la valable et commande vers quel
site sera effectivement dirigé l'internaute s'il clique sur
le lien. Ci-dessous le même message au format HMTL puis au
format texte brut :
Le lien hypertexte
qui paraît conduire vers le site web de YouTube ("www.youtube.com...")
conduit ainsi en réalité vers une adresse IP ("24.X.XXX.XX")
d'autant plus suspecte que l'auteur du message a tenté de
la dissimuler. Afin d'éviter d'être abusé, il
est plus que fortement recommandé de paramétrer son
logiciel de messagerie de manière à ce qu'il affiche
par défaut tous les messages au format texte brut
(menu Outils > Options > onglet Lecture > cocher
"Lire tous les messages en texte clair" dans Outlook Express
ou Outils > Options > onglet Préférences >
bouton Options de la messagerie > cocher "Lire tous les
messages standard au format texte brut" dans Outlook).
25/08/07 : diffusion d'une
ancienne variante (132
Ko) selon le même scénario. Cette variante est identifiée
sous les noms WORM/Zhelatin.Gen (Antivir), Win32:Tibs-BEL (Avast),
Downloader.Tibs.7.W (AVG), Trojan.Peed.IGK (BitDefender), Trojan.Small-3628
(ClamAV), Trojan.Packed.142 (Dr.Web), Email-Worm.Win32.Zhelatin.hi
(Kaspersky), Trojan:Win32/Tibs.gen!B (Microsoft), Mal/Dorf-E (Sophos),
Trojan.Packed.13 (Symantec).
26/08/07 : diffusion d'une
nouvelle variante (138 Ko) selon le même scénario.
Cette variante est identifiée sous les noms WORM/Zhelatin.Gen
(Antivir), Win32:Tibs-BFG (Avast), SHeur.JJI / Downloader.Tibs.7.X
(AVG), Generic.Zlob (BitDefender), Trojan.Packed.142 (Dr.Web), Win32/Sintun.AE
(eTrust), Email-Worm.Win32.Zhelatin.hq (Kaspersky), Win32/Nuwar.Gen
(NOD32), W32/Tibs.ARTL (Norman), Mal/Dorf-E (Sophos), Trojan.Packed.13
(Symantec).
27/08/07
: diffusion d'une nouvelle variante du virus (138 Ko) selon le même
scénario. Cette variante est identifiée sous les noms
WORM/Zhelatin.Gen (Antivir), Win32:Tibs-BFG (Avast), Downloader.Tibs.7.X
(AVG), Generic.Zlob (BitDefender), Trojan.Small-3637 (ClamAV), Trojan.Packed.142
(Dr.Web), Win32/Sintun.AE (eTrust), Email-Worm.Win32.Zhelatin.hs
(Kaspersky), Win32/Nuwar.Gen (NOD32), W32/Tibs.ASFB (Norman), Mal/Dorf-E
(Sophos), Trojan.Packed.13 (Symantec).
28/08/07 : diffusion de la
même variante du virus (138 Ko) selon un nouveau scénario.
Storm Worm se présente désormais sous la forme d'un
courriel sans fichier joint, tentant de se faire passer pour un
nouveau logiciel en recherche de bêta-testeurs ou pour un
nouveau codec vidéo. Pour plus d'informations, voir la fiche
Zhelatin.HS.
30/08/07
: diffusion de la même variante du virus (138 Ko) selon le
scénario initial d'une vidéo YouTube.
31/08/07 : diffusion de la
même variante du virus (138 Ko) en utilisant les courriers
électroniques de la variante Zhelatin.HS
du 29/08/07 (nouveau codec vidéo) mais en renvoyant les
internautes vers la fausse page YouTube.
INFORMATIONS COMPLEMENTAIRES :
-> Abonnement
gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
-> Identifier
les fausses alertes virus avec Hoaxkiller.fr
-> FAQ : des
dizaines de messages infectés envahissent ma boîte aux lettres.
Mon ordinateur est-il contaminé? Comment arrêter ça?
-> FAQ :
une alerte m'indique qu'un virus a été trouvé dans un message que
j'ai envoyé. Mon ordinateur est-il infecté?
-> FAQ : comment
désinfecter le répertoire C:\RESTORE?
-> FAQ : que
faire dans le cas d'un fichier "uncleanable" (non nettoyable)?
-> FAQ : comment
supprimer un fichier en cours d'utilisation?
-> FAQ
: qu'est-ce que le partage de fichiers et comment y mettre fin?
-> Dossier Secuser.com
sur les virus
|
