|
Sophos
met en garde contre plusieurs virus,
Sophos Anti-Virus, recommande aux utilisateurs
d'être vigilant concernant le virus CoolSite,
apparu la semaine dernière.
Ce ver présente la particularité
de programmer une liaison entre la page de garde
d'Internet Explorer et un site pornographique.
Il arrive par le biais d'un e-mail avec le message:
" Hi. I found cool site ! http://... It's
really cool! "
Si le destinataire du message clique sur le
lien Internet, la page de garde Internet fournira
un lien pour se rendre sur un site porno, et
le ver changera également le contenu
des messages des fichiers envoyés depuis
Microsoft Outlook pour tenter ensuite, de les
renvoyer à leurs destinataires d'origine.
Sophos recommande donc de télécharger
sur son site, la protection contre le ver CoolSite.
Sophos alerte également les utilisateurs
de l'apparition du virus WM97/Ded-V et du
virus W32/Shoho-A qui se répand via
l'e-mail ayant pour sujet : "Welcome to
Yahoo! Mail" et le fichier joint intitulé
"readme.txt.pif" www.sophos.fr
Virus
Maldal ou W32/Reeezak.A@mm : attention aux voeux
de fin d'année par e-mail
Le ver Maldal arrive sous la forme d'un
e-mail ayant pour objet "Happy New Year"
et proposant d'ouvrir un fichier joint intitulé
Christmas.exe. Le corps du message est rédigé
comme suit :
"Hii
I can't describe my feelings
But all i can say is Happy New Year :)
bye".
Une
fois la pièce-jointe exécutée,
une carte de voeu portant la mention "From
the heart, Happy New Year !" apparaît
mais le virus s'envoie surtout par e-mail à
tous les contacts MSN Messenger et Outlook de
l'utilisateur crédule.
Bien sûr, il s'installe aussi sur le PC
de manière à démarrer automatiquement
à chaque initialisation de Windows.
Dès
que le fichier est ouvert, une fausse fenêtre
d'erreur s'affiche à l'écran et
le ver s'autocopie dans le répertoire
Windows\System\ sous le nom Win.exe. Pour être
sûr de s'activer au démarrage du
PC, il inscrit la ligne HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\System%system
directory%\Win.exe dans la base de registres
Puis le clavier est désactivé,
la machine renommée ZaCker et la page
de démarrage d'Internet Explorer modifiée
pour pointer sur un site de l'auteur du virus.
La page chargée au lancement suivant
d'Explorer contient un code JavaScript qui installe
dans le répertoire Windows un fichier
nommé "rol.vbs" et l'exécute.
Pour distraire l'utilisateur, celui-ci affiche
également une nouvelle page qui contient
une animation Flash.
Dommages
causés
Maldal.D ne fait pas que se propager, il se
révèle être aussi un broyeur
de fichiers. Ainsi, après s'être
assuré de sa présence durable,
il s'attaque à tous les programmes antivirus
en supprimant le contenu de leurs répertoires
: Program Files/Zone Labs, Program Files/Norton
Antivirus... Par la suite, il supprime consciencieusement
les documents ayant les extensions .bat, .com,
.dat, .doc, .xls, .zip, etc
|
