lundi 4 juin 2007

Nouveau Ver MSN : Photos.zip

Cette infection se propage de plus en plus vite. Nous la voyons énormément sur les forums de sécurité.

Les informations ci-dessous proviennent en parties de la Zeb Help Process faite par Coolman.

ORIGINE

Il appartient à une famille de vers backdoors/spywares/adwares.

SYMPTÔME

Ce ver comporte des fonctionnalités de porte dérobée de trojan permettant un accès distant non autorisé à l'ordinateur infecté. Il se propage par MSN Messenger en faisant souvent référence à un album photo à télécharger. Il peut envoyer du code malicieux à travers les réseaux de P2P. Une fois le code exécuté par l'utilisateur, la base de Registre est modifiée (HKLM, HKCR). Une fois installé, une connexion par canal IRC (Internet Relay Chat) est mise en place via le port TCP-8080. Il recherche les mots de passes système afin de prendre le contrôle à distance, ce qui représente un risque potentiel pour le système et la confidentialité des données.

Quelques messages envoyés par MSN Messenger :

- HEY lol i've done a new photo album !:) Second ill find file and send you it.
- Hey wanna see my new photo album?
- Hey accept my photo album, Nice new pics of me and my friends and stuff and when i was young lol...
- Hey just finished new photo album! icon_smile.gif might be a few nudes icon_wink.gif lol...
- hey you got a photo album? anyways heres my new photo album icon_smile.gif accept k?
- hey man accept my new photo album.. icon_frown.gif made it for yah, been doing picture story of my life lol..
- Lmfao hey im sending my new photo album, Some bare funny pictures!"
- lol my sister wants me to send you this photo album"
- Hey i been doing photo album! Should see em loL! accept please mate icon_smile.gif"
- HEY lol i've done a new photo album !:) Second ill find file and send you it."
- Hey wanna see my new photo album?"
- looooooooooooooooooooooooooooooooooooooo!! icon_razz.gif
- OMG just accept please its only my photo album!!
- Hey accept my photo album, Nice new pics of me and my friend's and stuff and when i was young lol...
- Hey just finished new photo album! icon_smile.gif might be a few nudes icon_wink.gif lol...
- hey you got a photo album? anyways heres my new photo album icon_smile.gif accept k?
- hey man accept my new photo album.. icon_frown.gif made it for yah, been doing picture story of my life lol..

ALIAS

BackDoor-AZX trojan
Backdoor.Win32.IRCBot.21504
Backdoor.Win32.IRCBot.aaq [F-Secure]
Backdoor:W32/IRCBot.ABO
Win32.IRCBot.aaq [Kaspersky]
W32/Backdoor.AKLK
W32/IRCBot-VR [Sophos]
WORM_SDBOT.EEY [Trend Micro]

FICHIERS
  • WINDOWS\album.zip
  • WINDOWS\photo album.zip
  • WINDOWS\photo album2007.pif
  • WINDOWS\album-2007-*-**.scr
  • WINDOWS\System32\syshosts.dll
  • WINDOWS\System32\rdfhost.dll
  • WINDOWS\System32\rdihost.dll
  • WINDOWS\System32\rdshost.dll
METHODE DE SUPPRESSION

Téléchargez MSNFix.zip (!aur3n7) sur votre Bureau.
Décompressez-le sur votre bureau (Clique-Droit/Extraire tout).

Ouvrez le dossier MSNFix puis double-clique sur MSNFix.bat.
- Exécutez l'option R.
-- Si l'infection est détectée, pressez une touche pour lancer le nettoyage.

Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations.
Dans ce cas il suffit de redémarrer l'ordinateur manuellement.

Postez le rapport situé dans le dossier MSNFix sur un forum de sécurité informatique.
Le nom du rapport correspond au moment de sa création : date_heure.log

>procédure complète de Malekal_Morte<

ANALYSE

Certains antivirus ne détectent toujours pas cette infection : Avast! par exemple !
La liste ci-dessous sur les antivirus ne détectant toujours pas cette infection a été réalisée grace à une analyse du fichier infecté sur VirusTotal.com par Malekal_Morte.
  • Authentium
  • Avast!
  • CAT-QuickHeal DÉTECTE DEPUIS LE 05/06
  • ClamAV
  • FileAdvisor
  • Norman DÉTECTE DEPUIS LE 05/06
  • Panda DÉTECTE DEPUIS LE 05/06
  • Prevx1
  • Sophos
  • VirusBuster DÉTECTE DEPUIS LE 05/06

16 commentaires:

Yama310 a dit…

Je connais quelqu'un d'infecté par ce machin ! Heureusement que j'étais sous Linux quand j'ai reçu le fichier photos.zip :).

Je vais lui transmettre un lien vers cet article. En espérant que ça l'aide à désinfecter !

Angeldark a dit…

C'est le virus à la mode en ce moment.
Il innonde tous les forums ;)

Cartouche a dit…

Pareil j'étais aussi sous linux quand je l'ai reçu
mais avec gaim le transfert est tellement lent que j'ai pas pu avoir entièrement le .zip :/
j'aurais été curieux de voir exactement ce qu'il y a dedans

Angeldark a dit…

Tu n'aurais pas eu de problème sous Linux :)

Anonyme a dit…

Salut,

Suite à l'infection d'une amie sur WLM (ex MSN), j'ai reçu ce genre de fichier. Comme elle dînait, je n'ai pas dérangé ni posé de question pensant à un fichier sympa de sa part. Une fois téléchargé et passé à l'antivirus (McAfee VirusScan 11.2.121 mis à jour du 13/06/2007) qui n'a rien détecté (à rajouter à la liste des anti-virus "non à jour") j'ai chopé ce machin-truc mais des "amis" m'ont retournés ce qu'il se passait avec mon WLM et j'ai ensuite grace à GOOGLE et ce site fait le "ménage". Bref, merci pour l'astuce et pas content envers McAffe sur ce coup. Fabrice

Anonyme a dit…

Merci pour la solution et merde a avast qui a laissé passé ca...
le pc de ma femme a pris le worm. grrrr!

Anonyme a dit…

c'est cool grace a vos renseignement j'ai su retirer se virus qui étais vraiment perturbent pour moi et mes ami(e)s
merci

alexia a dit…

salut
j'ai recu ce virus moi aussi.
En fait j'ai recu de la part d'un de mes contacts le fichier "photo.zip" et ca m'a fait tout ce que vous avez décrit. le problème c'est que lorsque j'ai réalisé que c'était un virus j'ai supprimé le fiichier photo zip et maintenant MSNFix ne détecte rien...
Est ce que si je desinstalle msn pour le reinstaller ca ira "mieux" ?

Anonyme a dit…

Bonjour à tous,
J'ai était infecté par cette merde et évidemment j'ai avast comme antivirus donc je me le suis manger le worm, sinon je vous remercie pour votre aide et j'espère arriver à me débarrassé de ce truc. Je vais posté un lien direct sur ce forum dans le mien pour aider ceux qu'y l'aurait reçu.
maggot9

Pocket Boy a dit…

Moi MSNFix ne détecte aucune infection, j'ai eu ce problème hier (j'ai Avaast comme anti-virus ...) et là ce matin je n'ai même plus de barre des tâches et je peux juste ouvrir quelques programmes mais aucun dossier donc un peu d'aide serait la bienvenue, merci :-D

Mariah-chan a dit…

Il est chiant ce nouveau virus. Je vais essayer l'astuce chez une amie qui a attrapé ce virus.

Merci a vous, Mariah-chan.

Anonyme a dit…

idem pour moi, avast a détecté plisieur chevaux de troie, jai supprimé tout les fichier infecté sauf un : retadpu420, est windows m'envoi un message d'erreur comme quoi il ne trouve pas ce fichier, que dois-je faire, le supprimer ?
j'ai cru comprendre que c'était un virus et que le probleme venais de :
C:/WINDOWS/system32 -> fichier [sysprinters.dll]

aidez moi svp, je dois absolument me débarasser de toute ces saloperies !

D'avance, Merci :D

nad786 a dit…

SLT TOUTE le monde!
g un problém g aussi attrapé ce virus! et je voudrais men débarrassé o plus vite!
g fais ce kon mavé demandé! mais je voudrais un renseigment!
si mes contact ne recoiven plus ses fichié , ses message ... cela voudrait dire ke le virus é parti???
parcj je suis pas si sure ke le virus é plus su mon ordi
aidéé moa svppp

Anonyme a dit…

Ver reçu aujourd'hui sous la forme suivante: myAlbum2007

Phrases types utilisées (En français ... c'est nouveau ça :/) :

- hey c'est toi dans ces tof!!??? (C'est sur cette première phrase que je me suis fais rouler ... -_-')

- stp regarde cet album de photos je lai fais specialement pour toi et mes amis...

- j'ai fais pour toi cet album de photos tu dois le voire :P

Sinon contrairement à ce qui est dit c'est AVAST! qui m'a prévenu. Peut-être qu'il le fait depuis peu. MSN m'a signalé que le fichier n'avait pas été enregistré ce qui était FAUX. Donc fait gaf !!!

Et merci pour la manip ;)

Anonyme a dit…

Y'a bien quelqu'un ici qui s'est débarassé a 100% de ce foutu ver de m****
alors svp aidez nous :D
faudrai un truck qui permette de le viré de l'ordi, une manip ou autre

Merci =)

Anonyme a dit…

J'ai été infectée, il y a deux jours et grâce à un ami informaticien qui était en ligne et qui a compris ce qui m'arrivait m'a aidée, via vos liens et procédure, à nettoyer mais, une amie eet contaminée et j'ai reçu d'elle le même truc : suis-je à nouveau infectée ???
Et puis, que fait msn ??? Car ce qui m'arrive en septembre semble connu depuis juin, à vous lire !