Zhelatin.HS est un virus qui se propage par courrier
électronique. Avec ses multiples variantes, il fait partie
de l'infection Storm Worm. Il se présente
sous la forme d'un courriel sans fichier joint, en tentant de
se faire passer pour un nouveau logiciel recherchant
des bêta-testeurs ou pour un nouveau codec
vidéo prétendument nécessaire à la
visualisation d'une vidéo de divers artistes ou groupes anglophones
(R. Kelly, Rihanna, Snoop Dog, Eagles, etc.).
|
PREVENTION :
Les utilisateurs concernés doivent mettre à
jour leur antivirus. Il ne faut pas cliquer sur un lien contenu
dans un message douteux sans avoir clairement identifié
son expéditeur puis lui avoir fait le cas échéant
confirmer l'envoi du message. D'une manière générale,
même si son nom est intrigant ou attrayant il ne faut pas
exécuter un fichier d'origine douteuse.
DESINFECTION :
Avant de commencer la désinfection, il est impératif
de s'assurer avoir appliqué les mesures préventives
ci-dessus pour éviter la réinfection de l'ordinateur.
Les utilisateurs
ne disposant pas d'un antivirus peuvent utiliser l'antivirus
gratuit en ligne pour rechercher et supprimer Zhelatin.HS
et ses variantes.
|
|
TYPE :
Ver
SYSTEME(S) CONCERNE(S) :
Windows
ALIAS :
WORM/Zhelatin.Gen (Antivir)
Win32:Tibs-BFG (Avast)
Downloader.Tibs.7.X (AVG)
Generic.Zlob (BitDefender)
Trojan.Small-3637 (ClamAV)
Trojan.Packed.142 (Dr.Web)
Win32.Zhelatin.hq (eSafe)
Win32/Sintun.AE (eTrust)
Email-Worm.Win32.Zhelatin.hs (Kaspersky)
Tibs-Packed (McAfee)
Trojan:Win32/Tibs.DV (Microsoft)
Win32/Nuwar.Gen (NOD32)
W32/Tibs.ASFB (Norman)
W32/Nurech.AU.worm (Panda)
Mal/Dorf-E (Sophos)
Trojan.Packed.13 (Symantec)
Storm Worm
TAILLE :
138 Ko
DECOUVERTE :
28/08/2007
DESCRIPTION DETAILLEE :
Le virus Zhelatin.HS se propage par courrier électronique
sous la forme d'un message sans fichier joint dont le titre et le
corps sont variables, généralement envoyé par
spamming.
L'expéditeur du message est une adresse usurpée ou
générée automatiquement, tentant de se faire
passer pour développeur en recherche de bêta-testeurs
pour son nouveau logiciel (jeu de poker, gestion de budget, cuisine,
etc.). Quelques titres de message :
- Could you give us a hand?
- We need you
- New Software needs Beta testers
Le corps du message est un texte invitant à télécharger
un fichier setup.exe via un serveur prétendument sécurisé
en promettant une copie, une licence et/ou des mises à jour
gratuites en contrepartie de l'essai du logiciel :
We Need Beta testers to try out our new
software Poker Master
This will help us put the final touches on this great
new software. For helping out, you will receive a free
edition and 5 years of updates.
Download the software, See What you think, and Email us
your thoughts. If you would like to help us with this
no obligation Beta test, follow this link to our secure
download server: http://65.**.***.***/setup.exe |
|
We Need Beta testers to try out our new
software Personal Budget Manager
This will help us get the software ready for consumer
release. As a beta tester you will receive a free copy
of the program and free updates.
Download the software, See What you think, and Email us
your thoughts. Here is your chance. Follow the link to
our secure download center: http://89.**.**.**/setup.exe |
|
We could sure use your opinion of our
new program Cooking Helper
This will help us put the final touches on this great
new software. A free copy of the program plus free updates
will be yours for helping out.
Download the software, See What you think, and Email us
your thoughts. Here is your chance. Follow the link to
our secure download center: http://76.***.**.***/setup.exe
|
|
We are looking for Consumer opinions
of our new software Home Reno Planner
This beta testing will help prepare us for market release.
As a beta tester you will receive a free copy of the program
and free updates.
Simply download the software. Try it out for one week.
Email us what you think of it. If you would like to help
us with this no obligation Beta test, follow this link
to our secure download server: http://76.***.***.**/setup.exe |
|
Si l'internaute clique sur le lien hypertexte, une boîte
de dialogue s'ouvre pour le téléchargement du fichier.
Il ne faut pas cliquer sur ce lien ni télécharger
le fichier setup.exe car il s'agit en réalité du cheval
de Troie Storm Worm. Si ce fichier est exécuté, le
cheval de Troie s'installe et permet la prise de contrôle
à distance de l'ordinateur contaminé par une personne
malveillante, dans le but de constituer un gigantesque réseau
d'ordinateurs "zombies".
29/08/07
: diffusion de la même variante du virus (138 Ko) selon un
nouveau scénario. Storm Worm se présente à
nouveau sous la forme d'un message invitant le destinataire à
regarder une vidéo concernant prétendument une chanteuse,
un chanteur ou un groupe anglophone populaire. Quelques titres de
message :
- awesome new video
- Cool Video is out
- dude this is not even on MTV yet
- Hot new video
- i know you love this music
- oh man, you got to see this video
- this video is not out yet
- this video rocks
- your gonna love this, lol
Le corps du message est un court texte au format texte brut incitant
à cliquer sur un lien hypertexte contenant une adresse IP
(de la forme XX.XX.XX.XX, XX étant un nombre entre 0 et 255)
:
Chris Brown
Check it out first. Paste this address in your browser
for the video:
http://77.**.***.**/
|
|
R. Kelly just made a new video.
See the version before MTV airs it. Cut and paste the
link in your
browser to get the video: http://12.***.***.**/
|
|
Rihanna just made a video you have got
to see.
Be the first to check it out. Click on the link to pull
it off my
server: http://67.***.***.***/
|
|
Fat Boy filmed the most amazing new video.
Watch it before anyone else sees it. Paste this address
in your browser
for the video: http://24.***.**.***/
|
|
Fat Boy did a new video.
Get it before it comes out. Paste this address in your
browser for the
video: http://88.***.***.**/
|
|
Snoop Dog made a hot new video.
Go get it before they take it offline. Go here for the
video:
http://80.**.***.**/
|
|
Eagles just filmed their new video.
See the cut before it hits MTV. Follow the link to get
the video:
http://193.**.***.**/
|
|
Lil Mama just made a new video.
Check it out first. Go to my server to get the video:
http://98.***.**.***/
|
|
Emenem just made a new video.
Watch it before anyone else sees it. Click the link to
play it:
http://76.***.***.**/
|
|
Fergie filmed the most amazing new video.
See the version before MTV airs it. Paste this address
in your browser
for the video: http://69.***.**.**/
|
|
Sean Kingston just filmed their new video.
Be the first to see it. Click here to download it: http://97.**.**.***/
|
|
Velvet Revolver just cut there new video.
Be the first to check it out. Click on the link to pull
it off my server: http://70.***.**.***/
|
|
T-Pain just cut there new video.
Get it before it comes out. Go to my server to get the
video:
http://213.***.***.***/
|
|
Si l'internaute clique sur le lien hypertexte, il est dirigé
vers une page web qui tente d'installer automatiquement le programme
malicieux en exploitant plusieurs failles
de sécurité et qui incite à télécharger
un programme présenté comme un nouveau codec (codec.exe),
prétendument nécessaire à la visualisation
de la vidéo :
Il ne faut pas cliquer sur ce lien ni télécharger
le fichier codec.exe car ce fichier est en réalité
le virus Storm Worm. Cette variante est toujours identifiée
sous les noms WORM/Zhelatin.Gen (Antivir), Win32:Tibs-BFG (Avast),
Downloader.Tibs.7.X (AVG), Trojan.Peed.IGS (BitDefender), Trojan.Small-3637
(ClamAV), Trojan.Packed.142 (Dr.Web), Win32/Sintun.AE (eTrust),
Email-Worm.Win32.Zhelatin.hs (Kaspersky), Trojan:Win32/Tibs.DV (Microsoft),
Win32/Nuwar.Gen (NOD32), W32/Tibs.ASFB (Norman), W32/Nurech.AU.worm
(Panda), Mal/Dorf-E (Sophos), Trojan.Packed.13 (Symantec).
31/08/07 : diffusion de la
même variante du virus (138 Ko) en utilisant les courriers
électroniques du 29/08/07 relatifs au nouveau
codec vidéo mais en renvoyant vers la fausse page YouTube
de la variante Zhelatin.HJ
du 25/08/07.
INFORMATIONS COMPLEMENTAIRES :
-> Abonnement
gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
-> Identifier
les fausses alertes virus avec Hoaxkiller.fr
-> FAQ : des
dizaines de messages infectés envahissent ma boîte aux lettres.
Mon ordinateur est-il contaminé? Comment arrêter ça?
-> FAQ :
une alerte m'indique qu'un virus a été trouvé dans un message que
j'ai envoyé. Mon ordinateur est-il infecté?
-> FAQ : comment
désinfecter le répertoire C:\RESTORE?
-> FAQ : que
faire dans le cas d'un fichier "uncleanable" (non nettoyable)?
-> FAQ : comment
supprimer un fichier en cours d'utilisation?
-> FAQ
: qu'est-ce que le partage de fichiers et comment y mettre fin?
-> Dossier Secuser.com
sur les virus
|
