Dayrton
Dayrton

inscrit le 31/07/03
23K messages

Mercredi 28 janvier 2004

Le virus Mydoom se propage à très vive allure et cible SCO
En 48 heures, plus de 3millions d'interceptions ont été enregistrées par
le site de MessageLabs, un record dans l'histoire des virus ! Selon
F-Secure, entre 300 000 et 500 000 machines seraient déjà touchées dans le
monde.
Le virus Mydoom (autrement appelé Novarg ou Mimail Q ou R) est un spammeur
de masse, utilisant des techniques désormais très classiques de pièces
attachées trompeuses (simulant des erreurs de courriel) et ouvrant une
porte dérobée pouvant servir à la prise en main distante des postes
contaminés. Il se diffuse aussi via Kazaa et pourrait avoir été conçu en
Russie. Sa durée de vie est courte : jusqu'au 12 février. Entre temps, une
attaque en déni de service est prévue contre le site Sco.com.

Un virus plus rusé que les précédents
"Ce virus présente peu de différences avec le virus Bagle mais il semble
que les premières personnes ciblées ont été mieux choisies, ce qui peut
expliquer qu'il ait eu plus de "succès". De plus, il utilise une ruse assez efficace puisqu'il fait croire aux victimes que certains de leurs mails n'ont pas pu être délivrés, ce qui incite les gens à ouvrir la
pièce jointe pour voir ce qui s'est passé", précise M. Paget chercheur anti-virus chez NA.

Le mail envoyé par Mydoom peut en effet avoir plusieurs objets "Error", "Status", "Server Report", "Mail Transaction Failed", "Mail
Delivery System", "hello" ou "hi" ), objets couramment utilisés par les
serveurs de messagerie pour notifier une véritable erreur d'adressage de
courrier électronique. Les extensions des pièces jointes peuvent être
.pif, .scr, .exe, .cmd, .bat ou encore .zip (ce qui devrait, en revanche,
attirer l'attention des utilisateurs, ces extensions étant fréquentes chez
les virus).

Voilà, voilà soyons attentifs !

Tchak-Tchak
Tchak-Tchak
Statut : Expert
inscrit le 30/07/02
18K messages
Ca ressemble beaucoup à un hoax ça... Méfiance.
Par contre, j'ai rien trouvé sur www.hoaxbuster.com
zerchove
zerchove

inscrit le 14/01/03
5308 messages
houla non c'est pas du tout, mais alors pas du tout un hoax...
l'exilé
l'exilé

inscrit le 29/01/03
1250 messages
pas du tout un hoax!!!!! Ma boite a été touchée!
albertus
albertus

inscrit le 09/08/03
2262 messages
Stations : 1 avis
ça n'arrette pas de défiler dans ma boite
ça casse un peu les bonbons mais tant qu'on ouvre pas y-as pas de risque.
Mac Yavel
Mac Yavel

inscrit le 21/02/03
252 messages
Ah les chimistes et l'informatique !
djan
djan
Statut : Gourou
inscrit le 10/04/03
2507 messages
Stations : 5 avisMatos : 66 avis
Eh non, C pas du tout un hoax! Ma messagerie a été touchée, mais j'ai pas ouvert la PJ...Et toute ma société est infectée...
Greg 1100
Greg 1100

inscrit le 23/08/03
3290 messages
Surtout si on a Norton, aucun problème il les met en quarantaine !

Cedski
Cedski
Statut : Confirmé
inscrit le 10/11/01
11K messages
ouais depuis deux jours c'est bien bien lourd... Enfin au moins je connais au la raison maintenant...
Sinon je me demande vraiment quels sont les mongols qui ouvre les pièces jointes !!??
Comme avec le "mail" de crosoft pour la mise à jour, mdr....
chocard
chocard

inscrit le 24/04/02
2275 messages
Les virus en .exe ou .scr ou je ne sais quoi... ca fait doucement rigoler mon Mac..

Comme a dit un de mes amis : "Ca me fait penser au jeu Wolfenstein, avec les monstres électriques qui tournent en rond derrière la vitre blindée".

Avec Outloque, y'a pas un moyen de filtrer le courier indésirable? Mail, sur Mac le fait très bien.

MAD
MAD

inscrit le 08/03/02
518 messages
J'ai recu ce matin W32.NOVARG.....Norton l'a placé en quarantaine mais même avec les dernieres mises à jour, il n'a pas pu reparer le fichier(fichier dont je me fous rotalement de toute facon).
MAD
MAD

inscrit le 08/03/02
518 messages
royalement bien sur...
pietro-beretta
pietro-beretta

inscrit le 30/09/03
1316 messages
c'est celui la :

Priorité : Ce message a été envoyé avec une priorité normale
Objet : Undelivered Mail Returned to Sender
Reçu le : 19/01/04 14:48

Fichier(s) joint(s) : Delivery error report Undelivered Message

This is the Postfix program at host mailer.bavoila.net.

I'm sorry to have to inform you that the message returned
below could not be delivered to one or more destinations.

For further assistance, please send mail to <postmaster>

If you do so, please include this problem report. You can
delete your own text from the message returned below.

The Postfix program

<**********s79@wanadoo.fr>: host smtp.wanadoo.fr[193.252.22.110] said: 550
<********lois79@wanadoo.fr>: User unknown (in reply to RCPT TO command

donc j'ai failli me faire avoir .

Pierro
Pierro

inscrit le 30/11/02
6202 messages
sale bete!!!
acrobatic
acrobatic

inscrit le 16/11/99
1899 messages
par contre ca touche meme ma boite "perso" qui n'est jamais spammee. La je pige moins, a moins que ca infecte les liste d'adresse de certains correspondants ?

>======================================================================
>
> Message du CERT-Renater (certsvp@renater.fr)
>
>======================================================================
>
>W32/Mydoom@MM
> -----------
>
>
>Autres noms rencontres : Mimail.R, Novarg.A, Shimg, W32.Novarg.A@mm,
> W32/MyDoom-A
>
>
>Ce ver/virus Internet se propage par le biais de la messagerie
>electronique et le reseau "peer to peer" Kazaa. Il cible les
>systemes Windows 95, 98, ME, NT, 2000 et XP.
>
>Il se cache dans la piece jointe d'un message presentant les
>caracteristiques suivantes:
>
> Expediteur: adresse usurpee/fabriquee
>
> Sujet: error
> hello
> hi
> mail delivery system
> mail transaction failed
> server report
> status
> test
> [caracteres aleatoires]
>
> Corps du message: texte variable.
> Entre autres on a pu observer:
> "test"
>
> "The message cannot be represented in 7-bit ASCII
> encoding and has been sent as a binary attachment."
>
> "The message contains Unicode characters and has been
> sent as a binary attachment."
>
> "Mail transaction failed. Partial message is available."
>
> Noms possible pour la piece jointe:
> body
> data
> doc
> document
> file
> message
> readme
> test
> [caracteres aleatoires]
> Avec l'extension:
> .zip
> .bat
> .cmd
> .exe
> .pif
> .scr
>
> taille du fichier: 22528 octets
>
>
>Entre autres actions, il semble qu'une fois active, le ver
>
> - place une copie de lui meme (taskmon.exe) dans le repertoire
> systeme de Windows,
> - modifie la cle de registre:
> * HKLM\Software\Microsoft\Windows\CurrentVersion\Run
> "TaskMon" = %sysdir%\taskmon.exe
> pour permettre que Taskmon.exe soit execute a chaque
> redemarrage,
> - cree le mutex "SwebSipcSmtxSO" pour eviter les reinfections
> successives,
> - recolte des adresses de correspondants dans un certain nombre
> de fichiers trouves sur le disque contamine. Il se sert de ces
> adresses pour forger les champs expediteur et destinataire des
> courriers electroniques qu'il envoie dans son processus de
> propagation,
> - depose sur le disque le fichier %sysdir%\shimgapi.dll qui
> semble etre une backdoor en ecoute sur le port 3127/tcp et
> permettant donc un acces distant et discret au systeme
> contamine. Un attaquant peut donc ainsi controller a distance
> le systeme infecte a l'insu de l'utilisateur du poste. Certains
> editeurs indiquent que la backdoor ouvre en fait les ports
> allant de 3127/tcp a 3198/tcp. shimgapi.dll est de plus charge
> par EXPLORER.EXE grace a la cle:
>
>HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
> "(Default)" = %System%\shimgapi.dll ,
> - programme pour lancer une attaque en deni de service sur le
> serveur web du groupe SCO a partir du 1er Fevrier 2004,
> - recherche dans la base de registre la valeur indiquant les
> repertoires partages des utilisateurs de Kazaa et depose dans
> ces repertoires des copies de lui meme avec les noms:
> winamp5
> icq2004-final
> activation_crack
> strip-girl-2.0bdcom_patches
> rootkitXP
> office_crack
> nuke2004
> avec des extensions de fichier choisies dans:
> .bat
> .exe
> .scr
> .pif
>
>
>Il semble que ce ver se propage tres tres rapidement en ce moment
>dans certaines communautes. La plupart des editeurs d'antivirus ont
>mis a jour leurs signatures virales le 26/01/2004.
>
>Pour de plus amples details, notamment des descriptions techniques
>des modifications apportees au systeme, consulter:
>
>http://isc.incidents.org/diary.html?date=2004-01-26
>
>http://securityresponse.symantec.com/avcenter/venc/data/w32.novarg.a@mm.html
>http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MIMAIL.R
>http://www.f-secure.com/v-descs/novarg.shtml
>http://vil.nai.com/vil/content/v_100983.htm
>http://www.sophos.com/virusinfo/analyses/w32mydooma.html
>http://www3.ca.com/virusinfo/virus.aspx?ID=38102
>
>Le second lien donne des indications sur les mesures a
>suivre pour la desinfection de systemes contamines dans
>la rubrique "removal instructions".
>
>
>
>Cordialement,
>
>
> =========================================================
> Les serveurs de référence du CERT-Renater
> http://www.urec.fr/securite
> http://www.cru.fr/securite
> http://www.renater.fr
> =========================================================
> + CERT-RENATER | tel : 01-53-94-20-44 +
> + 151 bd de l'Hopital | fax : 01-53-94-20-41 +
> + 75013 Paris | email: certsvp@renater.fr +

zerchove
zerchove

inscrit le 14/01/03
5308 messages
attention, cela n'a rien à voir avec du spam, c'est bel et bien un virus, ie il se propage a travers le carnet d'adresses. Donc soyez très attentif et faites chauffer les antivirus.
smac
smac

inscrit le 22/11/02
1839 messages
L'exilé>"pas du tout un hoax!!!!! Ma boite a été touchée!"

Tiens, la mienne aussi a ce qu'on m'a dit !!!

Plus les jours passent plus je suis heureux de ne pas travailler sous windows !!!

@+
smac

chocard
chocard

inscrit le 24/04/02
2275 messages
Y'a que Outlook qui autorise un virus à s'emparer du carnet d'adresse? Ou bien d'autres messageries sont concernées?
Quelle daube ce logiciel!!
zerchove
zerchove

inscrit le 14/01/03
5308 messages
et non, pas que Outlook pour une fois...
le virus vise SCO, proprio d'Unix, donc ils se sont mieux démerdés que d'habitude...
jpl
jpl

inscrit le 30/12/02
32 messages
Pas un hoax du tout, la version A ciblait sco et la version B d'hier ciblerait Krosoft le 3 plutot que le 1er février.

C'est bien d'avoir Norton ou un autre anti-virus mais certains sont paramétrés pour ne faire leurs mise à jour qu'une fois par semaine -> grosse merde à moins de forcer une mise à jour manuelle ...

Pour le carnet d'adresse, Outlook si tu l'as mais de toute façon le cache web d'IE et tout ce qui ressemble à une adresse email ...

Une chose me gêne, Billou prépare avec Intel et d'autres une version de son OS pas triste avec vision licences louées pour une période déterminée, réseau sécurisé "intégré" à l'internet actuel -> de quoi encore plus verrouller les users MS et les différencier des autres ... qques mois de tapage médiatique virus, sécurité Inet etc -> ca y est !

Trace
Trace
Statut : Confirmé
inscrit le 15/12/02
2471 messages
Je l'ai vu passer, mais les .exe ou src.. étaient toujours dans un fichier zip.. donc il faut vraiment le vouloir pour l'exécuter.
Dayrton
Dayrton

inscrit le 31/07/03
23K messages
Aux dernières nouvelles il y a maintenant la version Mydoom.B qui s'attaque maintenant au site microsoft.com et la protection antivirale originale contre la version "A" ne le détecte pas!
Source: Tribune de Genève
rider d'huez
rider d'huez

inscrit le 17/04/03
575 messages
J'ai fait un truc de base sur mon ordi...
J'ai fait une recherche avec windows sur mon disque dur avec Taskmon, il a trouver un Tasckmon.exe
Je n'ait pas redemarrer mon ordi depuis plusieurs jours; faut-il que je l'efasse? je risque pas de supprimer un fichier systeme ? j'ai rien remarquer de bizzar sur mon ordi, le virus, n'est pas encore activé ??
Enfin bref, qu'on me dise ce qu'il faut faire, parceque je suis pas rassurer...
Bernie
Bernie

inscrit le 26/09/02
1590 messages
zervoche> 'le virus vise SCO'
dans une seconde phase, le virus va générer un denie de service sur le site sco en tentant de s'y connecter entre le 1.02 et le 12.02
par contre, ça ne frappe pas les systèmes Unix et GNU/Linux.
jpl
jpl

inscrit le 30/12/02
32 messages
Réponse un : NON !, tu as plein de fichiers système qui, justement sont dans system ou system32, (en dessous de windows).

Réponse deux : ceux qui compilent les virus ne le font pas comme des boeufs, ici le dernier qui ralentit le net depuis qqes jours s'installe en effet avec un nom de fichier Windows connu, MAIS pas au bon endroit -> donc deux fichiers, le même nom mais pas la même chose.

Reponse trois : ne rien faire tout seul, charger un outil de détection spécifique (chez Fprot ou symantec ou Kaspersky etc.) laisser faire le test ...

Pas mal d'hoax cherche à faire supprimer des fichiers, cela fonctionne très bien, plus de Windows donc plus de problème ...

Pour éviter toutes nouvelles infections virales ou exploit des failles internet exploere, the soluce : demarrer boutton de droite, explorer, répertoire racine boot.ini, droite propirété, décocher lecture seule, droite supprimer, redémarrer-> fin des problèmes, bon bien sûr après il ne redémarre plus mais bon ...

jpl
jpl

inscrit le 30/12/02
32 messages
Bernie > quelque soit l'OS utilisé, une attaque massive même innopérante risque toujours de faire planter un serveur. Meme si remplace attaque par tentative de connexion sur serveur web, idem. Actuellement entre 25 et 50.000 ordinateurs contaminés, cad avec le virus installé et des utilisateurs qui soit s'en foute, soit ne comprennent pas ce qui arrive ou des administrateurs système qui cherchent à déployer des solutions ...

Tous vont générer des tentatives de connexions vers sco.com et crosoft.com dès le 1 er février. A raison d'une tentative seconde par PC ..., refusée et réessayée une seconde après par PC, plus augmentation de l'infection ...

Bon c'est vrai que la grippe du poulet c'est autre chose mais bon ...

conan
conan

inscrit le 07/11/03
1148 messages
Matos : 4 avis
pour résoudre le probléme il faut virer le gros virus entre la chaise et le clavier....

A+

Alexis
Alexis

inscrit le 30/11/98
759 messages
Stations : 2 avisMatos : 1 avis
lemonde.fr (oui, je sais, on fait mieux comme site spécialisé ! ) dit que la version B déclenche le virus sans même ouvrir la piéce jointe : il suffirait de lire le message !

On redouble donc de prudence !!

Bernie
Bernie

inscrit le 26/09/02
1590 messages
jpl> quand je dis 'par contre, ça ne frappe pas les systèmes Unix et GNU/Linux', je veux dire au niveau propagation du virus.
ensuite la version A du virus pointe vers sco et la version B pointe vers crosoft.
pietro-beretta
pietro-beretta

inscrit le 30/09/03
1316 messages
Euh... sinon j'ai eu ça moi : De : louis.lehmann@free.fr


A : vincent.******49@wanadoo.fr


Copie :


Priorité : Ce message a été envoyé avec une priorité normale
Objet : Hi
Reçu le : 20/01/04 23:13

Fichier(s) joint(s) : okrxrdeshga.exe

Test =)
kcuqhrbtungihwfir
--
Test, yep.

bizarre puisque adresse de l'expediteur sous free, qqn a des infos la dessus ? sachant que je n'ai aucun contact ayant cette adresse...

clash
clash
Statut : Confirmé
inscrit le 22/10/01
4095 messages
Dément!!!
Perso je reçois dans les 1 spam/jour avec mon adresse de base, et aujourd'hui, 15, dont 15x ce virus!! Jamais vu ça!
clash
clash
Statut : Confirmé
inscrit le 22/10/01
4095 messages
Ca, ça me laisse perplexe par contre:

"La nouvelle version du ver, Mydoom.B, est susceptible d'infecter les ordinateurs à la simple lecture du courriel la contenant, contrairement à son grand frère Mydoom.A qui ne s'active qu'à l'ouverture d'un fichier joint."

[source: yahoo]

Greg 1100
Greg 1100

inscrit le 23/08/03
3290 messages
Tient c'est bizarre ça ...

Moi c'est mon deuxième virus que je reçois sur ma boîte e-mail alors que ça fait 4 ans que je l'aie !

ça doit dépendre des noms de messagerie !
C'est sur que badgirl@... ou autres ça doit frapper ! Après y'a les correspondances ...


Enfin bref, je m'en foue pour Virus machin B car Norton le met direct en quarantaine sans avoir le temps de l'ouvrir !

pietro-beretta
pietro-beretta

inscrit le 30/09/03
1316 messages
oulah !si on chope le truc yen qu'en le regardant, Badamoum !!! va y avoir du degat !!!
JrLefou
JrLefou

inscrit le 07/07/03
758 messages
Matos : 6 avis
Pour la petite histoire SCO a revandiqué ya pas lomtemps des parties du code de linus, et demande des reparantion au distributeurs linux, a IBM...
Bref c'est pour ca que le virus attaque http:\\www.sco.com, je crois meme que ca doit commencer le 1er fevrier
Et comme il sont pas comptemp on mis a prix la tete du pirate a 250 000 $.
Que du bonheur quoi!!!

Greg 1100
Greg 1100

inscrit le 23/08/03
3290 messages
Oui, pour ceux qui n'ont pas d'antivirus ou protection e-mail

===>

(ouais je sais, > pietro-beretta a dit la même chose mais j'aimais bien le smiley )

Bernie
Bernie

inscrit le 26/09/02
1590 messages
pour se tenir informer des virus et des vulnérabilités : http://www.secuser.com http://www.cert.org/advisories/ http://www.f-secure.com/ http://www3.ca.com/virusinfo/

pour se protéger réellement, il suffit de sortir de la mono-culture actuelle en informatique. moi, je conseille GNU/Linux : http://www.mandrakesoft.com/ (par exemple)

Modo
skipass.com
skipass.com [Modo]
Statut : Expert
inscrit le 01/02/01
137K messages
Cette discussion est fermée car elle n'a pas enregistré de nouvelles contributions depuis plus de 6 mois.

Si vous souhaitez intervenir sur cette thématique, nous vous invitons à ouvrir un nouveau sujet sur le même thème.

cordialement

Skipass