|
Virus MyDoom/Novarg - Alerte de Niveau 4 & Attaque contre SCO
|
|
Le nouveau ver W32/Mydoom.A.worm (Novarg.A [Symantec], MIMAIL.R [Trend]) est déjà déclaré en statut alerte rouge (Panda Software) et Alerte de niveau 4/5 (Symantec). De nombreux incidents touchant de milliers d’utilisateurs dans de nombreux pays. La capacité de W32/MyDoom.A à se propager rapidement, ainsi que les dégâts laissés derrière son passage, font de W32/MyDoom.A un ver aussi nuisible que les tristement célèbres Bugbear ou Blaster.
|
|
Le ver W32/Mydoom.A s’envoie à toutes les adresses trouvées sur les ordinateurs affectés. Il est véhiculé par un message comprenant un attachement de fichier. A l’instar des récentes épidémies, la technique d’ingénierie sociale est utilisée pour inciter l’utilisateur à ouvrir le fichier attaché. Le virus n’affecte pas seulement l’ordinateur recevant le message mais l’ensemble des mails envoyés à tous les destinataires trouvés dans le carnet d’adresses.
De plus, W32/Mydoom.A ouvre le port TCP 3127 sur l’ordinateur infecté, autorisant ainsi le contrôle à distance dudit ordinateur. Ceci signifie qu’un pirate peut accéder, dérober, modifier ou détruire, toute information présente sur l’ordinateur.
Par ailleurs, le virus est prêt à lancer une attaque par déni de service sur le site Web www.sco.com le 1er février 2004
Le ver W32/Mydoom.A recherche des adresses e-mail sur l’ordinateur dans les fichiers portant les extensions suivantes : .htm, .sht, .php, .asp, .dbx, .tbb, .adb, .pl, .wab, .txt. Il utilise son propre moteur SMTP pour se propager.
Le message infecté propose plusieurs variantes et peut être composé par les phrases suivantes :
Objet :
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error
Message :
Mail Transaction Failed. Partial message is available.
The message contains Unicode characters and has been sent as a binary attachment.
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment
Nom du fichier attaché :
document
readme
doc
text
file
data
test
message
body
Extension du fichier attaché :
.pif
.scr
.exe
.cmd
.bat
.zip
Une fois que le virus a infecté un ordinateur, il se met à la recherche du programme de partage de fichiers en réseau KaZaa. Si ce dernier est détecté, un fichier est alors copié dans le répertoire de partage, autorisant sa diffusion via ce système de peer to peer. Le nom du fichier en question peut être :
winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004
avec l’extension .PIF, .SCR ou .BAT.
Désinfection - Antivirus en Ligne
Source : © K-OTik.COM / PandaSoftware
|
