Nouvelle variante Mydoom.B - Attaque contre SCO et Microsoft


Par K-OTik.COM © () - Une nouvelle variante du ver Mydoom (Norvag) a été identifiée par l'équipe F-Secure : Mydoom.B lancera deux attaques DDoS, la première est prévue pour le 1er février 2004 à 16:09:18 (UTC) à l'encontre du serveur web de SCO www.sco.com (8 requêtes chaque 1024 millisecondes), la seconde contre Microsoft www.micosoft.com (14 requêtes chaque 1024 millisecondes), cette dernière se déroulera le 3 février 2004 à 13:09:18 (UTC).

 

Cette variante empêchera les machines infectées d'accéder aux différents serveurs web des éditeurs antivirus (Symantec, F-Secure ...). Mydoom.B s'autodétruira le 1er Mars 2004 à 03:18:42 (UTC).

Update : Mydoom.B
peut s'exécuter à la simple lecture du courrier le contenant, pas besoin d'ouvrir le fichier joint pour être infecté (possible si Internet Explorer n'est pas patché contre les failles connues). Mikko Hyppoenen de chez F-Secure indique que cette variante souffre de certains défauts de fabrication, la diffusion d'une troisième version corrigée de ces anomalies verra le jour rapidement.

Télécharger - Outil de Désinfection

Le message infecté propose plusieurs variantes et peut être composé par les phrases suivantes :

Objet :
Status
hi
Delivery Error
Mail Delivery System
hello
Error
Server Report
Returned mail

Message :
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
sendmail daemon reported: Error #804 occured during SMTP session. Partial message has been received.
The message contains Unicode characters and has been sent as a binary attachment.
The message contains MIME-encoded graphics and has been sent as a binary attachment.
Mail transaction failed. Partial message is available.

Nom du fichier attaché :
document
readme
doc
text
file
data
message
body

Extension du fichier attaché :
pif
scr
exe
cmd
bat

Une fois que le virus a infecté un ordinateur, il se met à la recherche du programme de partage de fichiers en réseau KaZaa. Si ce dernier est détecté, un fichier est alors copié dans le répertoire de partage, autorisant sa diffusion via ce système de peer to peer. Le nom du fichier en question peut être :

 NessusScan_pro
 attackXP-1.26
 winamp5
 MS04-01_hotfix
 zapSetup_40_148
 BlackIce_Firewall_Enterpriseactivation_crack
 xsharez_scanner
 icq2004-final

avec l’extension .PIF . EXE .SCR ou .BAT.

Serveurs banni :

engine.awaps.net awaps.net www.awaps.net ad.doubleclick.net
spd.atdmt.com atdmt.com click.atdmt.com clicks.atdmt.com
media.fastclick.net fastclick.net www.fastclick.net ad.fastclick.net
ads.fastclick.net banner.fastclick.net banners.fastclick.net
www.sophos.com sophos.com ftp.sophos.com f-secure.com www.f-secure.com
ftp.f-secure.com securityresponse.symantec.com
www.symantec.com symantec.com service1.symantec.com
liveupdate.symantec.com update.symantec.com updates.symantec.com
support.microsoft.com downloads.microsoft.com
download.microsoft.com windowsupdate.microsoft.com
office.microsoft.com msdn.microsoft.com go.microsoft.com
nai.com www.nai.com vil.nai.com secure.nai.com www.networkassociates.com
networkassociates.com avp.ru www.avp.ru www.kaspersky.ru
www.viruslist.ru viruslist.ru avp.ch www.avp.ch www.avp.com
avp.com us.mcafee.com mcafee.com www.mcafee.com dispatch.mcafee.com
download.mcafee.com mast.mcafee.com www.trendmicro.com
www3.ca.com ca.com www.ca.com www.my-etrust.com
my-etrust.com ar.atwola.com phx.corporate-ir.net



Désinfection - Antivirus en Ligne

 

Source : © K-OTik.COM /  
  

 Audits de Sécurité & Tests Intrusifs Mailing Listes Advisories  Service Publicitaire

Tous droits réservés © 2002-2004 K-OTiK Security Voir Notice Légale   

actualité informatique  Exploits