Vanbot.DK est un virus qui se propage via le logiciel
de messagerie instantanée Microsoft MSN Messenger. Il se présente
sous la forme d'un message contenant un lien vers un fichier webcam_00002.com?.jpg,
prétendument envoyé par un contact. Si le fichier est
exécuté, le virus tente d'effectuer diverses actions
malveillantes.
PREVENTION :
Les utilisateurs concernés doivent mettre à
jour leur antivirus. D'une manière générale,
même si son nom est intrigant ou attrayant il ne faut pas
exécuter un fichier douteux sans avoir fait confirmer son
envoi par l'expéditeur présumé du message puis
l'avoir analysé avec au moins un antivirus à jour.
DESINFECTION :
Avant de commencer la désinfection, il est impératif
de s'assurer avoir appliqué les mesures préventives
ci-dessus pour éviter la réinfection de l'ordinateur.
Les utilisateurs
ne disposant pas d'un antivirus peuvent utiliser l'antivirus
gratuit en ligne pour rechercher et supprimer Vanbot.DK.
|
|
TYPE :
Ver
SYSTEME(S) CONCERNE(S) :
Windows
ALIAS :
Worm/VanBot.DK (Antivir)
Win32:VanBot-CY (Avast)
Generic_c.IB (AVG)
Trojan.Agent.AAMG (Bitdefender)
Win32.VanBot.dk (eSafe)
Win32/Niffbot.A (eTrust)
W32/Backdoor.BHRO (F-Prot)
Backdoor.Win32.VanBot.dk (F-Secure)
Backdoor.Win32.VanBot.dk (Kaspersky)
Win32/Rbot.NC (Microsoft)
W32/Ircbot.AYL.worm (Panda)
Trojan Horse (Symantec)
TAILLE :
480 Ko
DECOUVERTE :
01/07/2007
DESCRIPTION DETAILLEE :
Le virus Vanbot.DK se propage via le logiciel MSN Messenger
et se présente sous la forme d'un message prétendument
envoyé par un contact :
j'ai fais une pose de ma soeur
en cachette avec ma webcam regarde ca
http:// www.dungtrin.com/ webcam_00002.com?.jpg |
Contrairement aux apparences, le fichier concerné n'est
pas une image (extension .JPG) mais un fichier exécutable
(extension .COM). Si ce fichier est exécuté, le virus
se copie sur le disque dur, modifie la base de registres pour s'exécuter
automatiquement à chaque démarrage de l'ordinateur,
s'envoie à tous les contacts MSN puis ouvre une porte dérobée
permettant la prise de contrôle distance de l'ordinateur infecté
par un individu malveillant.
26/07/07
: diffusion d'une nouvelle variante (476 Ko) selon un scénario
similaire, sous le nom livecam1.com :
OMG LoL regarde ste cam la http://www.dungtrin.com/webcam/livecam1.com
:D |
Cette variante est identifiée sous les noms Worm/VanBot.DK.1
(Antivir), PSW.Ldpinch.LZV (AVG), Backdoor.SDBot.DEUW (Bitdefender),
BackDoor.IRC.Sdbot.928 (Dr.Web), Win32.VanBot.dk (eSafe), Backdoor.Win32.VanBot.dk
(F-Secure/Kaspersky), W32/Checkout (McAfee), Win32/Vanbot (Microsoft),
Win32/IRCBot.UG (NOD32), W32/IrcBot.BAW.worm (Panda), W32.IRCBot
(Symantec).
Si vous recevez de tels messages, c'est que l'un de vos contacts
est contaminé : informez-en l'ensemble de vos correspondants
ou au moins ceux dont vous soupçonnez la négligence,
afin qu'ils désinfectent leur ordinateur et arrêtent
de propager le virus. Compte tenu de son mode de propagation, ce
virus peut difficilement prétendre à une diffusion
massive, mais il parvient encore hélas à abuser un
nombre significatif d'utilisateurs trop peu méfiants.
INFORMATIONS COMPLEMENTAIRES :
-> Abonnement
gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
-> Identifier
les fausses alertes virus avec Hoaxkiller.fr
-> FAQ : des
dizaines de messages infectés envahissent ma boîte aux lettres.
Mon ordinateur est-il contaminé? Comment arrêter ça?
-> FAQ :
une alerte m'indique qu'un virus a été trouvé dans un message que
j'ai envoyé. Mon ordinateur est-il infecté?
-> FAQ : comment
désinfecter le répertoire C:\RESTORE?
-> FAQ : que
faire dans le cas d'un fichier "uncleanable" (non nettoyable)?
-> FAQ : comment
supprimer un fichier en cours d'utilisation?
-> FAQ
: qu'est-ce que le partage de fichiers et comment y mettre fin?
-> Dossier Secuser.com
sur les virus
|