Dumaru.Y est un virus qui se propage par email.
Il se présente sous la forme d'un message prétendument
envoyé par une correspondante prénommée
Elene, dont le titre est "Important information for you.
Read it immediately !" accompagné d'un fichier archive
myphoto.zip. Si le fichier contenu dans ce dernier est exécuté,
le virus s'envoie aux correspondants dont les adresses figurent
dans le carnet d'adresses Windows et divers autres fichiers,
installe un cheval de Troie puis un keylogger qui espionne les
frappes au clavier.
PREVENTION :
Les utilisateurs concernés doivent mettre
à jour leur antivirus. D'une manière générale,
même si son nom est attrayant il ne faut pas exécuter
un fichier joint sans au moins l'avoir au préalable
analysé avec un antivirus à jour.
DESINFECTION :
Avant de commencer la désinfection, il est impératif
de s'assurer avoir appliqué les mesures préventives
ci-dessus afin d'empêcher toute réinfection
de l'ordinateur par le virus. Les utilisateurs ne disposant
pas d'un antivirus peuvent utiliser gratuitement l'utilitaire
de désinfection FxDumaru pour rechercher
et éliminer le virus.
|
TYPE :
Ver
SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003
ALIAS :
Win32.Dumaru.Y (CA)
I-Worm.Dumaru.j (KAV)
W32/Dumaru.y@MM (Mc Afee)
W32/Dumaru-Y (Sophos)
W32.Dumaru.Y@mm (Symantec)
WORM_DUMARU.Y (Trend Micro)
TAILLE :
17.370 octets
DECOUVERTE :
24/01/04
DESCRIPTION DETAILLEE :
Dumaru.Y est un virus qui se propage par email. Il se
présente sous la forme d'un message prétendument
envoyé par une correspondante prénommée
Elene (FUCKENSUICIDE@HOTMAIL.COM) dont le titre est "Important
information for you. Read it immediately !", le corps
"Hi ! Here is my photo, that you asked for yesterday."
accompagné d'un fichier archive myphoto.zip. Ce dernier
contient un fichier exécutable qui tente de se faire
passer pour une image au format JPG grâce à une
double extension et un nombre important d'espaces entre la
fausse extension (.JPG) et la vraie extension de fichier (.EXE)
: myphoto.jpg[56 espaces].exe.
Si ce fichier est exécuté, le virus se copie
dans le répertoire Windows sous le nom RUNDLLX.SYS
et le répertoire Système sous les noms L32X.EXE
et VXD32V.EXE, il s'envoie aux correspondants dont les adresses
figurent dans le carnet d'adresses Windows ainsi que les fichiers
en .HTM, .HTML, .DBX, .TBB et .ABD, puis installe un cheval
de Troie permettant la prise de contrôle à distance
de l'ordinateur infecté ainsi qu'un keylogger qui espionne
les frappes au clavier et envoie par e-mail les informations
récoltées.
25/01/04 : une variante mineure Dumaru.Z a
été identifiée. La principale différence
est la taille du fichier infectant (14.550 octets au lieu
de 17.370).
INFORMATIONS COMPLEMENTAIRES :
-> Abonnement
gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
-> Identifier
les fausses alertes virus avec Hoaxkiller.fr
-> FAQ
: des dizaines de messages infectés envahissent ma boîte aux
lettres. Mon ordinateur est-il contaminé? Comment arrêter
ça?
-> FAQ
: une alerte m'indique qu'un virus a été trouvé dans un message
que j'ai envoyé. Mon ordinateur est-il infecté?
-> FAQ : comment
désinfecter le répertoire C:\RESTORE?
-> FAQ
: que faire dans le cas d'un fichier "uncleanable"
(non nettoyable)?
-> FAQ
: comment supprimer un fichier en cours d'utilisation?
-> FAQ
: qu'est-ce que le partage de fichiers et comment y mettre
fin?
-> Dossier
Secuser.com sur les virus
|