Restarter.F est un virus qui se propage via le logiciel
de messagerie instantanée MSN Messenger. Il se présente
sous la forme d'un message contenant un lien vers un site Internet
affichant une photo du destinataire. S'il clique sur le lien, ce dernier
est invité à ouvrir un fichier personnalisé dont
le nom contient son nom d'utilisateur, qui est le virus.
PREVENTION :
Les utilisateurs concernés doivent mettre à
jour leur antivirus. D'une manière générale,
même si son nom est intrigant ou attrayant il ne faut pas
exécuter un fichier douteux sans avoir fait confirmer son
envoi par l'expéditeur présumé du message puis
l'avoir analysé avec au moins un antivirus à jour.
DESINFECTION :
Avant de commencer la désinfection, il est impératif
de s'assurer avoir appliqué les mesures préventives
ci-dessus pour éviter une réinfection.
Les utilisateurs ne disposant pas d'un antivirus peuvent utiliser
MSNFix
pour supprimer Restarter.F.
|
|
TYPE :
Ver
SYSTEME(S) CONCERNE(S) :
Windows
ALIAS :
TR/Crypt.XPACK.Gen (Antivir)
Trojan.IRCBot-1698 (ClamAV)
W32/Smalltroj.CXEI (F-Secure)
Trojan.Win32.Restarter.f (Kaspersky)
Win32/IRCBot.ADS (NOD32)
W32/Smalltroj.CXEI (Norman)
Mal/Generic-A (Sophos)
TAILLE :
78 Ko
DECOUVERTE :
26/02/2008
DESCRIPTION DETAILLEE :
Le virus Restarter.F se propage via le logiciel MSN Messenger
et se présente sous la forme d'un message prétendument
envoyé par un contact connecté, accompagné
d'un lien vers un site Internet malicieux.
Exemple de lien piégé :
- http:// msn-photos.isuisse. com/?photo=[nom d'utilisateur du
destinataire]
Exemple de message :
- ta tof fais koi sur ce site :P
- lol quelqu'un a mis ta tof ici :D
- it's really your image ? :S
Si le destinataire clique sur ce lien, il est invité à
télécharger et/ou ouvrir un fichier avec une extension
.com, généré à la volée en incluant
dans son nom le nom d'utilisateur du destinataire, pour une plus
grande personnalisation (par exemple fichier toto22-photo12.com
si le nom d'utilisateur est toto22). Si ce fichier est ouvert, le
virus se copie sur le disque dur, modifie ensuite la base de registres
pour s'exécuter automatiquement à chaque démarrage
de l'ordinateur, s'envoie régulièrement à tous
les contacts MSN puis ouvre une porte dérobée, se
mettant en attente d'instructions en provenance d'un canal IRC permettant
la prise de contrôle à distance de l'ordinateur.
Si vous recevez des messages semblables, c'est parce que l'ordinateur
d'au moins un de vos correspondants est infecté : afin de
stopper Restarter.F, contactez la personne indiquée comme
étant l'expéditrice des messages par Messenger ou
par courriel pour l'informer que son ordinateur envoie des virus
et suggérez-lui de contacter l'ensemble de ses contacts MSN
pour les prévenir de ne pas ouvrir les fichiers .com ou sinon
de désinfecter leur ordinateur.
03/03/08
: diffusion d'une nouvelle variante du virus (88 Ko) selon le même
scénario, mais en utilisant un lien différent (http://
msn-albums.isuisse. com/?photo=[nom d'utilisateur du destinataire]).
Cette variante est identifiée sous les noms TR/Crypt.XPACK.Gen
(Antivir), Trojan.Agent.AHFE (BitDefender), Trojan.Agent-14154 (ClamAV),
W32/Backdoor2.OWE (F-Prot), W32/Smalltroj.CZOS (F-Secure), Trojan.Win32.Agent.gil
(Kaspersky), Worm:Win32/Pakabot.C (Microsoft), Win32/TrojanDropper.Agent.NIN
(NOD32), W32/Smalltroj.CZOS (Norman), W32/IRCbot.BUY.worm (Panda),
Mal/Generic-A (Sophos).
09/03/08
: diffusion d'une nouvelle variante du virus (87 Ko) selon le même
scénario, mais en utilisant un lien différent (http://
msn.images.isuisse. com/?photo=[nom d'utilisateur du destinataire]).
Cette variante est identifiée sous les noms TR/Crypt.XPACK.Gen
(Antivir), Trojan.Dropper.Delf.AYV (BitDefender), Win32/VMalum.CCGX
(eTrust), Trojan-Dropper.Win32.Agent.frl (F-Secure), Trojan-Dropper.Win32.Agent.frl
(Kaspersky), Generic.dx (McAfee), Worm:Win32/Pakabot.I (Microsoft),
W32/Smalltroj.DCGH (Norman), Mal/Generic-A (Sophos).
11/03/08
: diffusion d'une nouvelle variante du virus (88 Ko) selon le même
scénario, en utilisant un lien différent (http://
facebook.isuisse. com/?photo=[nom d'utilisateur du destinataire]).
Cette variante est identifiée sous les noms TR/Crypt.XPACK.Gen
(Antivir), Win32.Worm.IRC.PIH (BitDefender), Trojan.Dropper-5128
(ClamAV), Win32.Agent.fbh (eSafe), W32/Backdoor2.OWM (F-Prot), W32/Smalltroj.DAHD
(F-Secure), Trojan-Dropper.Win32.Agent.fbh (Kaspersky), Worm:Win32/Pakabot.D
(Microsoft), Win32/TrojanDropper.Agent.NIN (NOD32), W32/Smalltroj.DAHD
(Norman), Trj/Agent.IGC (Panda), Troj/Agent-GRD (Sophos), W32.IRCBot.Gen
(Symantec).
13/03/08
: diffusion d'une nouvelle variante du virus (88 Ko) selon le même
scénario, en utilisant un lien différent (http://
msn.photo.iquebec. com/?photo=[nom d'utilisateur du destinataire]).
Cette variante est identifiée sous les noms TR/Crypt.XPACK.Gen
(Antivir), Trojan-Dropper:W32/Agent.DZO (F-Secure), Trojan.Win32.DNSChanger.bck
(Kaspersky), VirTool:Win32/Obfuscator.Z (Microsoft), W32/Smalltroj.DIPS
(Norman), Trojan.Dropper (Symantec).
17/03/08
: diffusion d'une nouvelle variante du virus selon le même
scénario, en utilisant à nouveau un lien différent
(http:// msn-pictures.totalh. com/?photo=[nom d'utilisateur du destinataire]).
20/03/08
: diffusion d'une nouvelle variante du virus (90 Ko) selon le même
scénario, en utilisant un lien différent (http://
msn-pic.iquebec. com/?photo=[nom d'utilisateur du destinataire]).
Cette variante est identifiée sous les noms TR/Crypt.XPACK.Gen
(Antivir), BackDoor.Ircbot.DOV (AVG), Trojan.Downloader.Agent.ZEE
(BitDefender), Trojan.Win32.DNSChanger.bmj (Kaspersky), Worm:Win32/Pakabot.O
(Microsoft), W32/Smalltroj.DMDC (Norman), Mal/Generic-A (Sophos).
24/03/08
: diffusion d'une nouvelle variante du virus (90 Ko) selon le même
scénario, en utilisant un lien différent (http://
msn-friends.iquebec. com/?photo=[nom d'utilisateur du destinataire]).
Cette variante est identifiée sous les noms TR/Crypt.XPACK.Gen
(Antivir), BackDoor.Ircbot.7.AP (AVG), Heur.Invader (Kaspersky),
VirTool:Win32/Obfuscator.Z (Microsoft), Sus/UnkPacker (Sophos).
01/04/08
: diffusion de la même variante du virus (90 Ko) que le 24/03/08
mais en utilisant un lien hypertexte différent (http://msn.
contact-photo. com/?photo=[nom d'utilisateur du destinataire]).
04/04/08
: diffusion de la même variante du virus (90 Ko) que le 01/04/08
mais en utilisant un lien hypertexte différent (http:// www.photo-contact.
net?photo=[nom d'utilisateur du destinataire]).
De la même manière que le virus
Storm Worm, ce virus exploite le point faible des antivirus
à signatures, à savoir le délai existant
entre l'apparition d'une nouvelle menace et sa détection
effective par les logiciels de sécurité, qui laisse
en général les utilisateurs d'antivirus temporairement
sans protection à l'apparition de chaque nouvelle variante
du virus le temps que la nouvelle signature soit disponible. Ses
concepteurs multiplient ainsi les variantes pour tenter de contaminer
les utilisateurs imprudents y compris protégés par
un antivirus à jour, susceptibles d'ouvrir un fichier infecté
avant que leur antivirus ait reçu la nouvelle signature qui
permet de reconnaître et de bloquer le virus.
INFORMATIONS COMPLEMENTAIRES :
-> Abonnement
gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
-> Identifier
les fausses alertes virus avec Hoaxkiller.fr
-> FAQ : des
dizaines de messages infectés envahissent ma boîte aux lettres.
Mon ordinateur est-il contaminé? Comment arrêter ça?
-> FAQ :
une alerte m'indique qu'un virus a été trouvé dans un message que
j'ai envoyé. Mon ordinateur est-il infecté?
-> FAQ : comment
désinfecter le répertoire C:\RESTORE?
-> FAQ : que
faire dans le cas d'un fichier "uncleanable" (non nettoyable)?
-> FAQ : comment
supprimer un fichier en cours d'utilisation?
-> FAQ
: qu'est-ce que le partage de fichiers et comment y mettre fin?
-> Dossier Secuser.com
sur les virus
|