Warezov.SN est un virus qui se propage par courrier
électronique. Il se présente sous la forme d'un message en
anglais accompagné d'un fichier avec une extension .ZIP ou
.EXE, en tentant de se faire passer pour une carte virtuelle ou des
résultats d'analyses médicales, laissant croire au destinataire
qu'il lui a été envoyé par erreur.
PREVENTION :
Les utilisateurs concernés doivent mettre à
jour leur antivirus. D'une manière générale,
même si son nom est intrigant ou attrayant il ne faut pas
exécuter un fichier joint douteux sans avoir fait confirmer
son envoi par l'expéditeur présumé du message
puis l'avoir analysé avec au moins un antivirus à jour.
DESINFECTION :
Avant de commencer la désinfection, il est impératif
de s'assurer avoir appliqué les mesures préventives
ci-dessus pour éviter la réinfection de l'ordinateur.
Les utilisateurs
ne disposant pas d'un antivirus peuvent utiliser l'antivirus
gratuit en ligne pour rechercher et éliminer Warezov.SN.
|
|
TYPE :
Ver
SYSTEME(S) CONCERNE(S) :
Windows
ALIAS :
Worm/Warezov.SN(Antivir)
Win32:Downloader-NA (Avast)
Downloader.Generic6.PGF (AVG)
Trojan.Downloader.Warezov.AB (Bit Defender)
Trojan.Downloader-14439 (ClamAV)
Trojan.DownLoader.35874 (Dr.Web)
Win32/Stration.AFD (eTrust)
W32/Worm.KHV (F-Prot)
Email-Worm.Win32.Warezov.sn (F-Secure)
Email-Worm.Win32.Warezov.sn (Kaspersky)
W32/Stration.dldr (McAfee)
Win32/Stration.SE (Microsoft)
Win32/Stration.AAU (NOD32)
W32/Downloader.GAZ (Norman)
W32/Spamta.QO.worm (Panda)
Troj/StraDl-E (Sophos)
W32.Stration!dldr (Symantec)
TAILLE :
4 Ko
DECOUVERTE :
19/10/2007
DESCRIPTION DETAILLEE :
Le virus Warezov.SN se présente sous la forme d'un courrier
électronique en anglais dont le titre, le corps et le nom
du fichier joint sont variables, selon plusieurs scénarios
laissant croire au destinataire qu'il lui a été envoyé
par erreur, afin vraisemblablement d'exciter sa curiosité.
Selon un premier scénario, le virus se présente sous
la forme d'un courrier électronique dont le titre est "Hi,
you.ve just received a postcard.", dont le nom du fichier joint
est Postcard.exe et dont le message est :
Hi, you.ve just received a postcard.
For:
[adresse électronique du destinataire]
From:
---
Text:
Let's go to a party!
Postcard:
Click on attachment to view a postcard.
----
Pre-holidays Postcards.
http://postcards.wired2000.net/ |
|
Selon un second scénario, le virus se présente sous
la forme d'un courrier électronique dont le titre est "Hey",
dont le nom du fichier joint est Video_fragment.zip (contenant un
fichier Video_fragment.exe) et dont le message est :
Hi James,
Here is the video of this patient interrogation / cross-examination.
I think he doesn't say everything.
I'll ask the psychologist to work with him. I suppose
he can fall under hypnotist's spell. Also I'll make him
to pass lie detector examination, and then we'll compare
all the information and make a conclusion.
If you need me, I'm online.
Gerald. |
|
Si le fichier joint exécutable est exécuté,
le virus se copie sur le disque dur puis tente de se mettre à
jour en téléchargeant et exécutant un fichier
malicieux depuis un site web distant, afin d'infecter l'ordinateur.
05/11/07
: diffusion d'une nouvelle variante du virus (21 Ko) selon le même
scénario. Cette variante est identifiée sous les noms
TR/Crypt.CFI.Gen (Antivir), Win32:Warezov-CVD (Avast), Dropper.Generic_c.NR
(AVG), Win32.Worm.Stration.XLS (BitDefender), Worm.Stration-16 (ClamAV),
Trojan.DownLoader.36219 (Dr.Web), Win32.Warezov.gen (eSafe), Email-Worm.Win32.Warezov.fh
(F-Secure / Kaspersky), W32/Stration.dldr (McAfee), Win32/Stration
(NOD32), W32/Stration.IAY (Norman), W32/Spamta.ADJ.worm (Panda),
W32/Strati-Gen (Sophos), W32.Stration!dldr (Symantec).
INFORMATIONS COMPLEMENTAIRES :
-> Abonnement
gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
-> Identifier
les fausses alertes virus avec Hoaxkiller.fr
-> FAQ : des
dizaines de messages infectés envahissent ma boîte aux lettres.
Mon ordinateur est-il contaminé? Comment arrêter ça?
-> FAQ :
une alerte m'indique qu'un virus a été trouvé dans un message que
j'ai envoyé. Mon ordinateur est-il infecté?
-> FAQ : comment
désinfecter le répertoire C:\RESTORE?
-> FAQ : que
faire dans le cas d'un fichier "uncleanable" (non nettoyable)?
-> FAQ : comment
supprimer un fichier en cours d'utilisation?
-> FAQ
: qu'est-ce que le partage de fichiers et comment y mettre fin?
-> Dossier Secuser.com
sur les virus
|