Zhelatin.LJ est un virus qui se propage par courrier
électronique. Il fait partie de l'infection Storm
Worm. Il se présente sous la forme d'un message sans fichier
joint faisant la promotion d'un site dédié à
Halloween. Ce dernier invite à télécharger un jeu nommé
"Dancing Skeleton", se proposant de faire danser un squelette
en musique.
PREVENTION :
Les utilisateurs concernés doivent mettre à
jour leur antivirus. Il ne faut pas cliquer sur un lien contenu
dans un message douteux sans avoir clairement identifié
son expéditeur puis lui avoir fait le cas échéant
confirmer l'envoi du message. D'une manière générale,
même si son nom est intrigant ou attrayant il ne faut pas
exécuter un fichier d'origine douteuse.
DESINFECTION :
Avant de commencer la désinfection, il est impératif
de s'assurer avoir appliqué les mesures préventives
ci-dessus pour éviter la réinfection de l'ordinateur.
Les utilisateurs
ne disposant pas d'un antivirus peuvent utiliser l'antivirus
gratuit en ligne pour rechercher et supprimer Zhelatin.LJ.
|
|
TYPE :
Ver
SYSTEME(S) CONCERNE(S) :
Windows
ALIAS :
WORM/Zhelatin.Gen (Antivir)
Downloader.Tibs (AVG)
Trojan.Peed.ING (BitDefender)
Trojan.Peed-39 (ClamAV)
Trojan.Packed.193 (Dr.Web)
Win32/Sintun.AK (eTrust)
W32/StormWorm.G (F-Prot)
Email-Worm.Win32.Zhelatin.lj (F-Secure)
Email-Worm.Win32.Zhelatin.lj (Kaspersky)
Tibs-Packed (McAfee)
Trojan:Win32/Tibs.EU (Microsoft)
Win32/Nuwar.Gen (NOD32)
Tibs.gen177 (Norman)
W32/Nuwar.HU.worm (Panda)
Mal/Behav-146 (Sophos)
Trojan.Packed.13 (Symantec)
Trojan.Peacomm.D (Symantec)
Storm Worm
TAILLE :
108-109 Ko
DECOUVERTE :
30/10/2007
DESCRIPTION DETAILLEE :
Le virus Zhelatin.LJ se propage par courrier électronique
sous la forme d'un message sans fichier joint dont le titre et le
corps sont variables, généralement envoyé par
spamming.
L'expéditeur du message est une adresse électronique
usurpée ou générée automatiquement.
Quelques titres de message :
- Dancing skeleton
- Nothing is funnier this Halloween
- Party on this Halloween
- To much fun
- You'll laugh your but off
Le corps du message est un court texte invitant le destinataire
à cliquer sur un lien hypertexte contenant une adresse IP
(de la forme XX.XX.XX.XX, XX étant un nombre entre 0 et 255)
pour visualiser une carte virtuelle :
Si l'internaute clique sur le lien, il est dirigé vers
une page intitulée "Dancing Skeleton", se présentant
comme un jeu permettant de faire danser un squelette en musique
au rythme du curseur de la souris. Cette page tente d'installer
automatiquement un programme malicieux sur les ordinateurs non à
jour dans leurs correctifs en exploitant plusieurs failles
de sécurité et pour les autres invite à
télécharger un fichier halloween.exe :
Il ne faut pas cliquer sur ce lien ni télécharger
le fichier concerné, car il s'agit en réalité
d'une variante du virus Storm Worm. Si ce fichier est exécuté,
le virus s'installe sur le disque dur, tente de désactiver
les antivirus et logiciels de sécurité les plus populaires
puis ouvre une porte dérobée permettant la prise de
contrôle à distance de l'ordinateur infecté
par une personne malveillante, constituant un gigantesque réseau
d'ordinateurs "zombies".
A noter que la page ci-dessus remplace une page plus élaborée
qui a rapidement été retirée, probablement
parce qu'elle ne fonctionnait qu'avec le navigateur Internet Explorer
(à gauche) et pas avec le navigateur Firefox (à droite)
:
31/10/07
: diffusion d'une nouvelle variante du virus (110-112 Ko) selon
le même scénario. Cette variante est identifiée
sous les noms WORM/Zhelatin.Gen (Antivir), Win32:Tibs-BLT (Avast),
Downloader.Tibs.8.F (AVG), Trojan.Peed.INN (BitDefender), Trojan.Peed-44
(ClamAV), Trojan.Packed.162 (Dr.Web), Win32/Sintun.AK (eTrust),
W32/StormWorm.G (F-Prot), Packed.Win32.Tibs.dg (F-Secure / Kaspersky),
Tibs-Packed (McAfee), Win32/Tibs.EV (Microsoft), Tibs.gen177 (Norman),
Mal/Dorf-F (Sophos), Trojan.Peacomm.B (Symantec).
07/11/07
: diffusion d'une nouvelle variante du virus (122-123 Ko) selon
un scénario similaire. Le nom du fichier proposé en
téléchargement par le site malicieux est toutefois
désormais dancer.exe.
Quelques titres de message :
- Dancing Bones
- I played with this for hours
- If your in your office, keep the speakers low, lol
- Send this to your friends
- Show this to the kids
- The most amazing dancing skeleton
- You'll laugh your but off
Quelques messages :
I know I know, you hate this stuff, but
this was way to funny. Show it
to the kids. http://62.**.**.**/
|
|
Si l'internaute clique sur le lien, il est dirigé vers une
page intitulée "Dancing Skeleton" qui tente d'installer
automatiquement un programme malicieux sur les ordinateurs non à
jour dans leurs correctifs en exploitant plusieurs failles
de sécurité dont une faille
Apple QuickTime et pour les autres invite à télécharger
un fichier dancer.exe :
Cette variante est identifiée sous les noms WORM/Zhelatin.Gen
(Antivir), Downloader.Tibs (AVG), Trojan.Peed.INS (BitDefender),
Trojan.Packed.206 ou Trojan.Packed.209 (Dr.Web), Packed.Win32.Tibs.dn
(F-Secure / Kaspersky), Mal/Dorf-F (Sophos), Trojan.Peacomm.D (Symantec).
08/11/07
: diffusion d'une nouvelle variante du virus (123 Ko) selon le même
scénario.
Quelques titres de message :
- Dancing Bones
- Have a Happy Halloween everyone
- I am sending this to everyone
- Send this to your friends
- This will make you laugh
- Watch him dance
Quelques messages :
Cette variante est identifiée sous les noms WORM/Zhelatin.Gen
(Antivir), Downloader.Tibs (AVG), Trojan.Peed.INY ou Trojan.Peed.INW
(BitDefender), Trojan.Peed-47 (ClamAV), Trojan.Packed.210 (Dr.Web),
Win32/Sintun.AN (eTrust), W32/StormWorm.I (F-Prot), Email-Worm.Win32.Zhelatin.ml
(F-Secure / Kaspersky), W32/Nuwar@MM (Mc Afee), Win32/Tibs.EX (Microsoft),
Win32/Nuwar.Gen (NOD32), Tibs.gen184 (Norman), Mal/Dorf-F (Sophos),
Trojan.Peacomm.D (Symantec).
INFORMATIONS COMPLEMENTAIRES :
-> Abonnement
gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
-> Identifier
les fausses alertes virus avec Hoaxkiller.fr
-> FAQ : des
dizaines de messages infectés envahissent ma boîte aux lettres.
Mon ordinateur est-il contaminé? Comment arrêter ça?
-> FAQ :
une alerte m'indique qu'un virus a été trouvé dans un message que
j'ai envoyé. Mon ordinateur est-il infecté?
-> FAQ : comment
désinfecter le répertoire C:\RESTORE?
-> FAQ : que
faire dans le cas d'un fichier "uncleanable" (non nettoyable)?
-> FAQ : comment
supprimer un fichier en cours d'utilisation?
-> FAQ
: qu'est-ce que le partage de fichiers et comment y mettre fin?
-> Dossier Secuser.com
sur les virus
|