Pakes.NRV est un programme malicieux de type cheval de Troie. Il
se présente sous la forme d'un courrier électronique envoyé
par Microsoft au nom du fournisseur d'accès du destinataire, informant
ce dernier que son ordinateur est infecté par le virus Conficker
et lui demandant d'exécuter le programme joint pour éliminer le
virus.
PREVENTION :
Les utilisateurs concernés doivent mettre à
jour leur antivirus. D'une manière générale,
même si son nom est intrigant ou attrayant il ne faut pas
exécuter un fichier joint douteux sans avoir fait confirmer
son envoi par l'expéditeur présumé du message
puis l'avoir analysé avec au moins un antivirus à jour.
DESINFECTION :
Avant de commencer la désinfection, il est impératif
de s'assurer avoir appliqué les mesures préventives
ci-dessus pour éviter une réinfection. Les
utilisateurs peuvent utiliser l'antivirus
en ligne pour supprimer cette nouvelle variante de Pakes.NRV.
|
|
TYPE :
Troyen
SYSTEME(S) CONCERNE(S) :
Windows
ALIAS :
TR/Crypt.ZPACK.Gen (Antivir)
Win32:Trojan-gen (Avast)
Pakes.EIB (AVG)
Trojan.Downloader.Cutwail.S (BitDefender)
Trojan.DownLoad.37236 (DrWeb)
W32/Trojan3.BNG (F-Prot)
Trojan.Win32.Pakes.nrv (Kaspersky)
TrojanDownloader:Win32/Cutwail.gen!C (Microsoft)
Mal/FakeAV-AX (Sophos)
Trojan Horse (Symantec)
TAILLE :
34 Ko
DECOUVERTE :
13/11/2009
DESCRIPTION DETAILLEE :
Pakes.NRV est un programme malicieux de type cheval de Troie,
c'est-à-dire un programme hostile incapable de se multiplier et
de se propager par lui-même contrairement aux virus. Il peut cependant
arriver en pièce jointe d'un courrier électronique
car son auteur utilise la technique du spamming
pour le diffuser.
Le cheval de Troie se présente sous la forme d'un courrier électronique
en anglais intitulé "Conflicker.B Infection Alert",
prétendument envoyé par l'éditeur Microsoft
(Microsoft Support <adresse du destinataire>) au nom du fournisseur
d'accès du destinataire, informant ce dernier que son ordinateur
est infecté par le virus Conficker. Le corps du message invite
à ouvrir le fichier joint, présenté comme un
programme permettant de supprimer le virus :
Dear Microsoft Customer,
Starting 12/11/2009 the ‘Conficker’ worm began infecting
Microsoft customers unusually rapidly. Microsoft has been
advised by your Internet provider that your network is
infected.
To counteract further spread we advise removing the infection
using an antispyware program. We are supplying all effected
Windows Users with a free system scan in order to clean
any files infected by the virus.
Please install attached file to start the scan. The process
takes under a minute and will prevent your files from
being compromised. We appreciate your prompt cooperation.
Regards,
Microsoft Windows Agent #2 (Hollis)
Microsoft Windows Computer Safety Division |
|
La pièce jointe est une archive nommée 3YMH6JJY.zip,
contenant un fichier exécutable 3YMH6JJY.exe. Si ce fichier
est exécuté, le cheval de Troie s'installe sur le
disque dur. Ce message est évidemment un faux, Microsoft
n'envoyant jamais de correctif ni de mise à jour par courriel.
Le virus Conficker existe quant
à lui réellement, mais le fait de recevoir ce message
n'est en aucun cas une indication que votre ordinateur est contaminé
par ce virus.
INFORMATIONS COMPLEMENTAIRES :
-> Abonnement
gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
-> Identifier
les fausses alertes virus avec Hoaxkiller.fr
-> FAQ : des
dizaines de messages infectés envahissent ma boîte aux lettres.
Mon ordinateur est-il contaminé? Comment arrêter ça?
-> FAQ :
une alerte m'indique qu'un virus a été trouvé dans un message que
j'ai envoyé. Mon ordinateur est-il infecté?
-> FAQ : comment
désinfecter le répertoire C:\RESTORE?
-> FAQ : que
faire dans le cas d'un fichier "uncleanable" (non nettoyable)?
-> FAQ : comment
supprimer un fichier en cours d'utilisation?
-> FAQ
: qu'est-ce que le partage de fichiers et comment y mettre fin?
-> Dossier Secuser.com
sur les virus
|