You are not logged in.
- Topics: Active | Unanswered
Pages: 1
#1 2007-07-30 23:44:13
- psycho
- Jeux de l'année : uncharted 2 (ps3) ,Layton 2 (DS
- From: Yvetot
- Registered: 2007-03-31
- Posts: 706
faites gaffe sortez couverts
Méfiez-vous des fichiers ou des liens envoyés dans MSN par vos correspondants, même en lesquels vous avez toute confiance. Ces envois accompagnés de texte peuvent être envoyés en realité par un malware ayant pris le contrôle du MSN de votre correspondant, voici des exemples :
... t'as pas encore vu ces tof
... j'ai fais pour toi cet album de photos tu dois le voire 
... mes photos chaudes
... hey regarde les tof, c'est moi et mes copains en train...
Ou encore :
... j'ai fais une pose de ma soeur en cachette avec ma webcam regarde ca
http:// www.dungtrin.com/ webcam_00002.com?.jpg
... OMG LoL regarde ste cam la http://www.dungtrin.com/webcam/livecam1.com
Ces envois, si vous les acceptez, permettent d'installer sur votre machine des logiciels malveillants, virus ou chevaux de Troie.
TYPE :
Ver
SYSTEME(S) CONCERNE(S) :
windaube
ALIAS :
Worm/IRCBot.ACD (Avast)
Dropper.Delf.EL (AVG)
Trojan.Dropper.Delf.HS (Bitdefender)
Trojan.Dropper-1181 (ClamAV)
Trojan.MulDrop.7373 (DrWeb)
W32/Backdoor.AZWJ (F-Prot)
Backdoor.Win32.IRCBot.acd (Kaspersky)
Backdoor.Win32.IRCBot.acd (Kaspersky)
W32/IRCbot.worm.gen.o (McAfee)
Backdoor:Win32/IRCbot.OP (Microsoft)
Win32/IRCBot.XW (NOD32)
W32/IRCBot.gen2 (Norman)
W32/IrcBot.AYK.worm (Panda)
W32.SillyIRC (Symantec)
WORM_SILLYIRC.B (Trend Micro)
TAILLE :
52 Ko
DECOUVERTE :
07/06/2007
DESCRIPTION DETAILLEE :
Le virus IRCBot.ACD se propage via le logiciel MSN Messenger et se présente sous la forme d'un message prétendument envoyé par un contact :
* t'as pas encore vu ces tof
* j'ai fais pour toi cet album de photos tu dois le voire
* mes photos chaudes :d
* hey regarde les tof, c'est moi et mes copains en train...
* meine heißen Fotos !
* Here are my very secret pictures for you.
Ce message est accompagné d'un lien vers un fichier myalbum2007.zip. Si le fichier contenu dans cette archive est exécuté, le virus se copie dans le répertoire windaube sous le nom myalbum2007.zip puis dans le répertoire windaube/System32 sous le nom sysprinters.dll, modifie la base de registres pour s'exécuter automatiquement à chaque démarrage de l'ordinateur, s'envoie à tous les contacts MSN puis ouvre une porte dérobée, se mettant en attente d'instructions en provenance d'un canal IRC particulier, de la part d'individus malveillants.
29/07/07 : diffusion d'une nouvelle variante du virus (108 Ko) selon un scénario similaire :
http://membres.lycos.fr/webcam2007/photos-webcam2007.zip me!! (H)
http://www.chatamis.net/photos-webcam2007.zip me!! (h)
Cette variante est identifiée sous le nom Backdoor.Win32.IRCBot.acd (F-Secure).
Si vous recevez de tels messages, c'est que l'un de vos contacts est contaminé : informez-en l'ensemble de vos correspondants ou au moins ceux dont vous soupçonnez la négligence, afin qu'ils désinfectent leur ordinateur et arrêtent de propager le virus. Compte tenu de son mode de propagation, ce virus peut difficilement prétendre à une diffusion massive, mais il parvient hélas encore à abuser un nombre significatif d'utilisateurs trop peu méfiants.
Last edited by psycho (2007-07-30 23:45:01)
Offline
#2 2007-09-16 11:12:32
- coaster
- bitman et robite fourre ever
- From: Ecole de gendarmerie montluçon
- Registered: 2007-04-13
- Posts: 323
Re: faites gaffe sortez couverts
Une nouvelle fois, Paypal est la cible d'une attaque par phishing et une nouvelle fois, les clients francophones sont directement ciblés. Depuis hier, un mail circule sur de nombreuses messageries. Ce mail, aux couleurs de la société de paiement sécurisé, demande comme d'habitude les identifiants de la victime pour les utiliser ensuite...
Ce mail fait croire à une suspension du compte de l'utilisateur. En effet, il indique que des mesures de sécurité ont poussé Paypal à suspendre le compte de l'abonné et invite celui-ci à entrer ses identifiants afin de débloquer son compte. Comme d'habitude, le mail est soigné et la supercherie est crédible, il n'en reste pas moins qu'il est faux.
Le mail contient donc un lien renvoyant vers une page usurpant l'identité de Paypal. Encore une fois, rien de visuel ne permet de différencier clairement cette page à celle d'une véritable page du site, si ce n'est l'adresse d'accès (qui utilise l'adresse du site transandine.fr, piraté pour l'occasion). Les filtres anti-phishing ne détectent généralement pas cette page comme frauduleuse du fait du crédit accordé au site piraté, qui n'est pas répertorié comme dangereux.
Une nouvelle fois, il est conseillé de supprimer ce genre de message et toujours préférer taper soi-même l'adresse d'un site dans son navigateur, et non d'y accéder en passant par un lien dans un email aux origines douteuses.
Offline
Pages: 1
- Registered users online in this topic: 0, guests: 1
- [Bot] ClaudeBot
[ Generated in 0.009 seconds, 7 queries executed - Memory usage: 503.59 KiB (Peak: 504.22 KiB) ]