Zhelatin.JP est un virus qui se propage par courrier
électronique. Avec ses multiples variantes, il fait partie
de l'infection Storm Worm. Il se présente
sous la forme d'un message sans fichier joint, renvoyant vers
un faux site de jeux en ligne incitant à télécharger des jeux gratuits
(Brighton BountyHunter, PacMan 2007, Bush Shootout, etc.).
PREVENTION :
Les utilisateurs concernés doivent mettre à
jour leur antivirus. Il ne faut pas cliquer sur un lien contenu
dans un message douteux sans avoir clairement identifié
son expéditeur puis lui avoir fait le cas échéant
confirmer l'envoi du message. D'une manière générale,
même si son nom est intrigant ou attrayant il ne faut pas
exécuter un fichier d'origine douteuse.
DESINFECTION :
Avant de commencer la désinfection, il est impératif
de s'assurer avoir appliqué les mesures préventives
ci-dessus pour éviter la réinfection de l'ordinateur.
Les utilisateurs
ne disposant pas d'un antivirus peuvent utiliser l'antivirus
gratuit en ligne pour rechercher et supprimer Zhelatin.JP
et ses variantes.
|
|
TYPE :
Ver
SYSTEME(S) CONCERNE(S) :
Windows
ALIAS :
JS:Agent-Q [Trj] (Avast)
Win32:Tibser (Avast)
Downloader.Tibs (AVG)
Trojan.Packed.142 (Dr.Web)
Win32/Sintun.AF (eTrust)
W32/Tibs6!Generic (F-Prot)
Tibs.gen134 (F-Secure)
Email-Worm.Win32.Zhelatin.jp (Kaspersky)
Tibs-Packed (McAfee)
Tibs.gen134 (Norman)
Mal/Dorf-D (Sophos)
Trojan.Packed.13 (Symantec)
Storm Worm
TAILLE :
139 Ko
DECOUVERTE :
15/09/2007
DESCRIPTION DETAILLEE :
Le virus Zhelatin.JP se propage par courrier électronique
sous la forme d'un message sans fichier joint dont le titre et le
corps sont variables, généralement envoyé par
spamming.
L'expéditeur du message est une adresse usurpée ou
générée automatiquement. Quelques titres de
message :
- 1000 free games!
- 1000+ Free Games!
- All the free games you want
- Are you ready to play?
- Backdoor to free game site
- Don't loose this
- Finally, something truly free on the net
- Free games
- Free games!
- Free online games
- GAMES! GAMES!
- Get 1000 games for free
- Get all these guys games
- Get free games
- Here is that link
- Hey kids, want free games?
- Life is just a little bit more fun
- New free game software has over 1000 games
- Play all your favorite games for free
- Quick, grab this
- The internet just got better
- Thousands of hours of fun, for free
- You'll love our new game site
- Your prayers have been answered
- Wow, cool games!
- Wow, free games!
Le corps du message est un court texte incitant le destinataire
à cliquer sur un lien hypertexte contenant une adresse IP
(de la forme XX.XX.XX.XX, XX étant un nombre entre 0 et 255)
pour télécharger un jeu gratuit :
Si l'internaute clique sur le lien, il est dirigé vers
une page web qui tente d'installer automatiquement le programme
malicieux en exploitant plusieurs failles
de sécurité et qui incite à télécharger
un fichier ArcadeWorld.exe :
Il ne faut pas cliquer sur ce lien ni télécharger
le fichier concerné, car il s'agit en réalité
d'une variante du virus Storm Worm. Si ce fichier est exécuté,
le virus s'installe sur le disque dur, tente de désactiver
les antivirus et logiciels de sécurité les plus populaires
puis ouvre une porte dérobée permettant la prise de
contrôle à distance de l'ordinateur infecté
par une personne malveillante, constituant un gigantesque réseau
d'ordinateurs "zombies".
15/09/07 22h00
: diffusion d'une nouvelle variante du virus (145 Ko) selon le même
scénario. Cette variante est identifiée sous les noms
Worm/Storm.tcr (Antivir), Win32:Tibser (Avast), Downloader.Tibs
(AVG), Trojan.Peed.IJU (BitDefender), Trojan.Small-3722 (ClamAV),
Trojan.Packed.142 (Dr.Web), Win32/Sintun.AG (eTrust), Email-Worm.Win32.Zhelatin.jq
(F-Secure/Kaspersky), Tibs-Packed (McAfee), Win32/Nuwar.gen (Microsoft),
Win32/Nuwar.Gen (NOD32), Mal/Dorf-E (Sophos), Trojan.Packed.13 (Symantec).
17/09/07
: diffusion d'une nouvelle variante du virus (145 Ko) selon le même
scénario. Cette variante est identifiée sous les noms
Worm/Storm.tcs (Antivir), Win32:Tibser (Avast), Downloader.Tibs
(AVG), Trojan.Peed.IJX (BitDefender), Trojan.Packed.142 (Dr.Web),
Packed.Win32.Tibs.by (Kaspersky), Tibs-Packed (McAfee), Win32/Nuwar.gen
(Microsoft), Mal/Dorf-D (Sophos), Trojan.Packed.13 (Symantec).
19/09/07
: diffusion d'une nouvelle variante du virus (145 Ko) selon le même
scénario. Cette variante est identifiée sous les noms
Worm/Storm.tcs (Antivir), Win32:Tibser (Avast), Trojan.Peed.IKH
(BitDefender), Trojan.Packed.142 (Dr.Web), Win32/Sintun.AG (eTrust),
Trojan:Win32/Tibs.EI (Microsoft), Tibs.gen158 (Norman), Mal/Dorf-D
(Sophos), Trojan.Packed.13 (Symantec).
20/09/07
: diffusion d'une nouvelle variante du virus (140 Ko) selon le même
scénario. Cette variante est identifiée sous les noms
WORM/Zhelatin.Gen (Antivir), Win32:Tibser (Avast), Downloader.Tibs
(AVG), Trojan.Peed.IKO / Trojan.Peed.IKQ (BitDefender), Trojan.Small-4115
(ClamAV), Trojan.Packed.142 (Dr.Web), Win32.Zhelatin.jt (eSafe),
Packed.Win32.Tibs.bz (F-Secure), Packed.Win32.Tibs.bz (Kaspersky),
Email-Worm.Win32.Zhelatin.jt (Ikarus), Tibs-Packed (McAfee), Trojan:Win32/Tibs.CG
(Microsoft), Tibs.gen158 (Norman), Mal/Dorf-D (Sophos), Trojan.Packed.13
(Symantec).
22/09/07
: diffusion d'une nouvelle variante du virus (136 Ko) selon le même
scénario. Cette variante est identifiée sous les noms
Worm/Storm.tct (Antivir), Downloader.Tibs (AVG), Trojan.Peed.IKR
(BitDefender), Trojan.Small-4117 (ClamAV), Trojan.Packed.142 (Dr.Web),
Win32/Sintun.AF (eTrust), Email-Worm.Win32.Zhelatin.ju (F-Secure),
Email-Worm.Win32.Zhelatin.ju (Kaspersky), Tibs-Packed (McAfee),
Trojan:Win32/Tibs.EK (Microsoft), W32/Tibs.AUDX (Norman), Mal/Generic-A
(Sophos), Trojan.Packed.13 (Symantec).
24/09/07
: diffusion d'une nouvelle variante du virus (163 Ko) selon le même
scénario. Cette variante est identifiée sous les noms
WORM/Zhelatin.Gen (Antivir), Win32:Tibser (Avast), Downloader.Tibs
(AVG), Trojan.Peed.IKQ (BitDefender), Trojan.Peed-2 (ClamAV), Trojan.Packed.142
(Dr.Web), Win32/Sintun.AH (eTrust), Packed.Win32.Tibs.bz (F-Secure/Kaspersky),
Tibs-Packed (McAfee), Trojan:Win32/Tibs.CG (Microsoft), Win32/Nuwar.Gen
(NOD32), Tibs.gen163 (Norman), Mal/Dorf-D (Sophos), Trojan.Packed.13
(Symantec).
25/09/07
: diffusion d'une nouvelle variante du virus (154 Ko) selon le même
scénario. Cette variante est identifiée sous les noms
Worm/Storm.tcu (Antivir), Trojan.Peed.IKW (BitDefender), Trojan.Packed.142
(Dr.Web), Packed.Win32.Tibs.cb (F-Secure/Kaspersky), Trojan:Win32/Tibs.EK
(Microsoft), Trojan.Packed.13 (Symantec).
26/09/07
: diffusion d'une nouvelle variante du virus (156 Ko) selon le même
scénario. Cette variante est identifiée sous les noms
Worm/Storm.tcu (Antivir), Downloader.Tibs (AVG), Trojan.Peed.IKZ
(BitDefender), Trojan.Peed-3 (ClamAV), Trojan.Packed.142 (Dr.Web),
Email-Worm.Win32.Zhelatin.jw (F-Secure/Kaspersky), Tibs-Packed (Mc
Afee), Trojan:Win32/Tibs.CG (Microsoft), Win32/Nuwar.Gen (NOD32),
Tibs.gen165 (Norman), .
28/09/07
: diffusion d'une nouvelle variante du virus (138 Ko) selon le même
scénario. Cette variante est identifiée sous les noms
Worm/Storm.tcv (Antivir), Downloader.Tibs (AVG), Trojan.Peed.ILC
(BitDefender), Trojan.Peed-5 (ClamAV), Trojan.Packed.142 (Dr.Web),
Packed.Win32.Tibs.cc (F-Secure/Kaspersky), Tibs-Packed (Mc Afee),
Win32/Nuwar.gen (Microsoft), Win32/Nuwar.Gen (NOD32).
29/09/07
: diffusion d'une nouvelle variante du virus (138 Ko) selon le même
scénario. Cette variante est identifiée sous les noms
TR/PCK.Tibs.CD.217 (Antivir), Trojan.Peed.ILD (BitDefender), Trojan.Peed-6
(ClamAV), Trojan.Packed.142 (Dr.Web), Win32.Tibs.cd (eSafe), 1 Packed.Win32.Tibs.cd
(F-Secure/Kaspersky), Win32/Nuwar.gen (Microsoft), Win32/Nuwar.Gen
(NOD32).
30/09/07
: diffusion d'une nouvelle variante du virus (168 Ko) selon le même
scénario. Cette variante est identifiée sous les noms
Worm/Zhelatin.HJ.7 (Antivir), Win32:Zhelatin-ASX (Avast), Generic8.BIQ
(AVG), Trojan.PWS.Agent.RXI (BitDefender), Trojan.Small-3273 (ClamAV),
Trojan.Spambot (Dr.Web), Win32.Zhelatin.hj (eSafe), Win32/Pecoan
(eTrust), Email-Worm.Win32.Zhelatin.hj (F-Secure/Kaspersky), Backdoor.Win32.Agent.amd
(Ikarus), W32/Nuwar@MM (McAfee), W32/Tibs.dam (Norman).
07/10/07
: diffusion d'une nouvelle variante du virus (119 Ko), toujours
selon le même scénario. Quelques exemples de titre
du courrier électronique :
- 10 seconds to check out these games
- come on, you know you love online games
- Hot online games, all free.
- This is completely free.
Quelques exemples de message :
Cette variante est identifiée sous les noms WORM/Zhelatin.Gen
(Antivir), Downloader.Tibs (AVG), Trojan.Peed.ILR (BitDefender),
Trojan.Peed-16 (ClamAV), Trojan.Packed.142 (Dr.Web), Email-Worm.Win32.Zhelatin.kc
(F-Secure/Kaspersky), Win32/Tibs.EN (Microsoft), Win32/Nuwar.Gen
(NOD32), Trojan.Packed.13 (Symantec).
08/10/07
: diffusion d'une nouvelle variante du virus (118-119 Ko) selon
le même scénario. Elle est identifiée sous les
noms WORM/Zhelatin.Gen (Antivir), Win32:Tibser (Avast), Downloader.Tibs
(AVG), Trojan.Peed.ILR (BitDefender), Trojan.Peed-17 (ClamAV), Trojan.Packed.142
(Dr.Web), Email-Worm.Win32.Zhelatin.ki (F-Secure / Kaspersky), Win32/Nuwar.gen
(Microsoft), Trojan.Packed.13 (Symantec).
10/10/07
: diffusion d'une nouvelle variante du virus (127 Ko) selon le même
scénario. Elle est identifiée sous les noms Worm/Zhelatin.KE.98
(Antivir), Win32:Zhelatin-ASX (Avast), Generic8.HEF (AVG), Win32.Nuwar.G@mm
(BitDefender), Trojan.Spambot.2484 (Dr.Web), Email-Worm.Win32.Zhelatin.ke
(F-Secure / Kaspersky), W32/Nuwar@MM (McAfee), Win32/Nuwar.A (Microsoft),
Win32/Nuwar (NOD32), W32/Tibs.dam (Norman).
INFORMATIONS COMPLEMENTAIRES :
-> Abonnement
gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
-> Identifier
les fausses alertes virus avec Hoaxkiller.fr
-> FAQ : des
dizaines de messages infectés envahissent ma boîte aux lettres.
Mon ordinateur est-il contaminé? Comment arrêter ça?
-> FAQ :
une alerte m'indique qu'un virus a été trouvé dans un message que
j'ai envoyé. Mon ordinateur est-il infecté?
-> FAQ : comment
désinfecter le répertoire C:\RESTORE?
-> FAQ : que
faire dans le cas d'un fichier "uncleanable" (non nettoyable)?
-> FAQ : comment
supprimer un fichier en cours d'utilisation?
-> FAQ
: qu'est-ce que le partage de fichiers et comment y mettre fin?
-> Dossier Secuser.com
sur les virus
|