Zhelatin.WW est un virus qui se propage par courrier
électronique. Il fait partie de l'infection Storm
Worm. Il se présente sous la forme d'un message sans fichier
joint invitant à se rendre sur une page intitulée "I Love
You", dont l'adresse est celle d'un blog de
la plate-forme Blogger de Google ou qui invite à télécharger
un codec vidéo.
|
PREVENTION :
Les utilisateurs concernés doivent mettre à
jour leur antivirus. Il ne faut pas cliquer sur un lien contenu
dans un message douteux sans avoir clairement identifié
son expéditeur puis lui avoir fait le cas échéant
confirmer l'envoi du message. D'une manière générale,
même si son nom est intrigant ou attrayant il ne faut pas
exécuter un fichier d'origine douteuse.
DESINFECTION :
Avant de commencer la désinfection, il est impératif
de s'assurer avoir appliqué les mesures préventives
ci-dessus pour éviter la réinfection de l'ordinateur.
Les utilisateurs
ne disposant pas d'un antivirus peuvent utiliser l'antivirus
gratuit en ligne pour rechercher et supprimer Zhelatin.WW.
|
|
TYPE :
Ver
SYSTEME(S) CONCERNE(S) :
Windows
ALIAS :
Worm/Zhelatin.AO (Antivir)
I-Worm/Nuwar.R (AVG)
Trojan.Peed.JDW (BitDefender)
Trojan.Peed-188 (ClamAV)
Trojan.Packed.426 (Dr.Web)
Win32/Sintun!generic.2 (eTrust)
Email-Worm.Win32.Zhelatin.ww (F-Secure)
Email-Worm.Win32.Zhelatin.ww (Kaspersky)
W32/Nuwar@MM (McAfee)
Worm:Win32/Nuwar.JZ (Microsoft)
W32/Dorf-BD (Sophos)
Trojan.Peacomm (Symantec)
Storm Worm
TAILLE :
137 Ko
DECOUVERTE :
06/04/2008
DESCRIPTION DETAILLEE :
Le virus Zhelatin.WW se propage par courrier électronique
sous la forme d'un message sans fichier joint dont le titre et le
corps sont variables, généralement envoyé par
spamming.
L'expéditeur du message est une adresse électronique
usurpée ou générée automatiquement.
Quelques titres de message :
- A Hearty Wish
- I Knew I Loved You
- My heart belongs to you
- Sweetest Things Aren't Things!
- The Love Train
Le corps du message est un court texte en forme d'une déclaration
d'amour et incitant le destinataire à cliquer sur un lien
hypertexte pointant vers un blog de la plate-forme Blogger de Google
(blogspot.com), dont l'adresse est variable :
Si l'internaute clique sur le lien, il est dirigé vers
une page est intitulée "I Love You" (en fait un
cadre pointant vers le domaine superdrugtesting. com) qui incite
à ouvrir un fichier love.exe (en cas de clic sur l'image)
ou withlove.exe (en cas de clic sur le lien hypertexte), censé
être une carte virtuelle :
Il ne faut pas cliquer sur le lien ni télécharger
ce fichier withlove.exe, car il s'agit en réalité
d'une variante du virus Storm Worm. Si ce fichier est exécuté,
le virus s'installe sur le disque dur, tente de désactiver
les antivirus et logiciels de sécurité les plus populaires
puis ouvre une porte dérobée permettant la prise de
contrôle à distance de l'ordinateur infecté
par une personne malveillante, constituant un gigantesque réseau
d'ordinateurs "zombies".
08/04/08
: diffusion d'une nouvelle variante du virus (137 Ko) selon un nouveau
scénario, la prétendue carte virtuelle étant
remplacer par une vidéo dont l'affichage pose problème.
Quelques titres de message :
- Deep in my heart
- Lost In Love
- Can't forget You
Le corps du message est toujours un court texte incitant à
cliquer sur un lien hypertexte :
Si l'internaute clique sur ce lien, il est à nouveau dirigé
vers une page est intitulée "I Love You", mais
celle-ci invite cette fois le destinataire à ouvrir un fichier
StormCodec.exe (en cas de clic sur l'image) ou StormCodec8.exe (en
cas de clic sur le lien hypertexte), censé être un
codec permettant de visualiser une vidéo destinée
à l'internaute :
Cette variante est identifiée sous les noms TR/Crypt.XPACK.Gen
(Antivir), Win32:Zhelatin-CNF (Avast), I-Worm/Nuwar.R (AVG), Trojan.Crypt.AP
(BitDefender), Trojan.Crypted-16 (ClamAV), Trojan.Packed.419 (DrWeb),
Win32/Sintun!generic.2 (eTrust), W32/Storm.gen2 (F-Prot), Email-Worm.Win32.Zhelatin.wt
(F-Secure), Email-Worm.Win32.Zhelatin.wt (Kaspersky), W32/Nuwar@MM
(McAfee), TrojanDropper:Win32/Nuwar.gen!C (Microsoft), Tibs.gen201
(Norman), Troj/Dorf-BA (Sophos), Trojan.Peacomm (Symantec).
INFORMATIONS COMPLEMENTAIRES :
-> Abonnement
gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
-> Identifier
les fausses alertes virus avec Hoaxkiller.fr
-> FAQ : des
dizaines de messages infectés envahissent ma boîte aux lettres.
Mon ordinateur est-il contaminé? Comment arrêter ça?
-> FAQ :
une alerte m'indique qu'un virus a été trouvé dans un message que
j'ai envoyé. Mon ordinateur est-il infecté?
-> FAQ : comment
désinfecter le répertoire C:\RESTORE?
-> FAQ : que
faire dans le cas d'un fichier "uncleanable" (non nettoyable)?
-> FAQ : comment
supprimer un fichier en cours d'utilisation?
-> FAQ
: qu'est-ce que le partage de fichiers et comment y mettre fin?
-> Dossier Secuser.com
sur les virus
|
