Répondre à la discussion
Affichage des résultats 1 à 22 sur 22

Virus: Novarg/Mydoom



  1. #1
    JPL
    Responsable des forums

    Attention. Le petit nouveau (26/1/04) est le ver W32.Novarg.A@mm [Symantec] ou W32/Mydoom@MM [McAfee] ou WORM_MIMAIL.R [Trend]

    Il semble attaquer en masse. J'en ai déjà reçu 2 par mail alors que mon adresse est peu diffusée. Le premier texte de mail était :
    The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
    et le deuxième :
    The message contains Unicode characters and has been sent as a binary attachment.

    Le document attaché fait 222,5 Ko (exactement 22,258 octets) et peut avoir diverses extensions, dont l'extension zip qui n'est pas courante pour un ver.

    Les dégâts possibles ne sont pas encore très connus, sauf qu'il envoie des mails infectés en masse, installe une backdoor qui ouvre les ports TCP 3127 à 3198 ce qui lui permet éventuellement de télécharger et d'exécuter des programmes nocifs venant de l'extérieur.

    Il est aussi programmé pour effectuer le 1/2 et le 12/2 une attaque en masse à partir des ordinateurs contaminés vers le site www.sco.com (site de la version SCO d'UNIX). Cette attaque en masse aboutirait à un déni de service (DoS) qui paralyserait ce site.
    Il semble également programmé pour arrêter sa diffusion après le 12/2 (ce qui ne prouve rien car il peut fort bien être remplacé par une nouvelle version).

    Par ailleurs le ver Dumaru.Y également très récent semble poser un problème. Je cite d'après http://www.secuser.com :
    Dumaru.Y est un virus qui se propage par email. Il se présente sous
    la forme d'un message prétendument envoyé par une correspondante
    prénommée Elene, dont le titre est "Important information for you.
    Read it immediately !" accompagné d'un fichier archive myphoto.zip.
    Si le fichier contenu dans ce dernier est exécuté, le virus s'envoie
    aux correspondants dont les adresses e-mail figurent dans le carnet
    d'adresses Windows et divers autres fichiers, installe un cheval de
    Troie puis un keylogger qui espionne les frappes au clavier
    Or d'après une observation postée sur fr.comp.securite.virus il semblerait qu'il suffirait de déziper le fichier pour être infecté. J'ai des doutes, mais il vaut mieux se méfier.

    -----
    Rien ne sert de penser, il faut réfléchir avant - Pierre Dac

  2. Publicité
  3. #2
    JPL
    Responsable des forums

    J'oubliais, le ver se propage par Kazaa et se copie sous divers noms tentateurs dans le répertoire partagé de Kazaa.
    Rien ne sert de penser, il faut réfléchir avant - Pierre Dac

  4. #3
    Davlaf

    Merci de l'info je vais faire attention. Présentement je n'ai recu aucun message de ce genre dans mes 3 boîtes de réception.

  5. #4
    JPL
    Responsable des forums

    J'ajoute que le corps du message contenir d'autres textes que ceux que j'ai cités. Quelqu'un a même signalé que le texte qu'il avait reçu était une protestation contre le fait (faux bien entendu) qu'il aurait envoyé le virus au soi-disant expéditeur du message.

    Jusqu'à présent la seule chose qui paraît stable, c'est la taille de la pièce attachée.
    Hier le serveur de mails de l'IUT Bordeaux 1 en a intercepté 500 entre entre 11h45 et 17h15.
    Rien ne sert de penser, il faut réfléchir avant - Pierre Dac

  6. A voir en vidéo sur Futura
  7. #5
    Yogo

    Merci j'ai recu les 3 ce matin dans 3 boites differentes dont une ou peu de personne ont l'adresse aie !!!

    Estce que les anti virus sont à jour ?!!

  8. #6
    JPL
    Responsable des forums

    Estce que les anti virus sont à jour ?!!
    A ma connaissance oui, si tu as fait un téléchargement de la base de signature aujourd'hui ou hier.

    Dernière info : j'en ai reçu un avec l'extension zip. Il est légèrement plus long que pour les autres extensions (c'est normal s'il est déjà compressé à son état normal puisque le format zip rajoute ses en-têtes).
    Rien ne sert de penser, il faut réfléchir avant - Pierre Dac

  9. Publicité
  10. #7
    Cornemuse

    bonjour
    merci pour l'info - je viens de poster un nouveau message sur "alerte virus", mais en fait, c'est ici que j'aurai du le mettre, j'ai fait la recherche "backdoor" dans mes fichiers, rien... donc tout va bien, mais je me pose toujours la question : est-ce que ce n'est pas la société de vente antivirus qui ferait un tel envoi ? pour inciter à l'achat ??
    bonne journée

  11. #8
    joshua_fr

    JPL > As-tu des précisions sur son fonctionnement exact, la faille utilisée, les appels, ... ? Depuis hier notre service à dû en recevoir une trentaine et je ne sais pour l'heure s'ils ont été activés sur les postes de mes collègues (je leur ai pourtant bien dit de passer sur le manchot, mais rien à faire ).
    Merci

  12. #9
    Cornemuse

    non car j'ai tout effacé, mais j'aurai du imprimer, trop tard, j'y penserai la prochaine fois....

  13. #10
    joshua_fr

    ARGH, des utilisateurs Linux pourraient ils confirmer : J'utilise Kmail 1.5.4 sur une Debian Sid kernel 2.4.20, et je viens de voir qu'un des postes du réseau (Windows 95) à reçu ce matin un des virus (Objet = 'Status') dont je serais l'expéditeur !
    Trois solutions : 1- mon poste est réellement infecté, donc les virus touchent aussi Linux !
    2 - Les serveurs SMTP hébergeants les comptes sont vérollés, le notre est hébergé chez Wanadoo (plateforme?)
    3 - Le virus change le nom de l'expéditeur, semant ainsi le trouble.
    Toute info bienvenue.

  14. #11
    Mouquiette

    Joshua_fr :

    Je viens de m'envoyer le virus sous Kmail, et apparement je ne suis pas infecté. De toute facon cela me parait bizarre qu'un virus soit multiplateforme, surtout vu sa petite taille. Je pencherais plutot pour la solution 3, qui s'est vu employée plusieurs fois.
    Bon je vais infecter mon windows pour voir ce que peux faire ce petit virus, je vous tient au courant

  15. #12
    joshua_fr

    J'ai des doutes quant à la fiabilité de la plateforme Wanadoo, hier nous avons eu beaucoup de soucis à l'envoi de mails pendant plus de 2 heures, avec des retours d'erreurs multiples et incohérents.
    De plus, il me semble que le traffic internet soit affecté par ces virus, avec des lenteurs exaspérantes (oui bon je sais, avant l'ADSL nous utilisions des 56 voir 33K, mais bon, on s'y fait vite n'est-ce pas ).

  16. Publicité
  17. #13
    JPL
    Responsable des forums

    Citation Envoyé par joshua_fr
    3 - Le virus change le nom de l'expéditeur, semant ainsi le trouble.
    Oui, il prélève des adresse dans divers fichiers présents sur l'ordinateur. Aucun ver actuel ne met dans le From: l'adresse dont il provient. Elémentaire.
    Citation Envoyé par Mouquiette
    Bon je vais infecter mon windows pour voir ce que peux faire ce petit virus, je vous tient au courant
    Surtout pas s'il est relié à l'internet !
    Rien ne sert de penser, il faut réfléchir avant - Pierre Dac

  18. #14
    joshua_fr

    Il est aussi programmé pour effectuer le 1/2 et le 12/2 une attaque en masse à partir des ordinateurs contaminés vers le site www.sco.com
    Je vais désactivé les antivirus

  19. #15
    Steph

    Oui, à noter que malgré que nous ayons recus 4 messages d'alerte hier, un de mes collègues a ouvert un attachement zippé provenant d'une collègue en Angleterre...et c'était norvarg!
    Mac Affee a été mis à jour hier, ca c'est sûr.
    Le ver ajoute un fichier.dll et modifie 2 fichiers windows, dont taskmon, et évidemment il fout la pagaille dans le registry.

    Par contre, un site dont j'ai oublié le nom et qui permet de scanner l'ordi "online" ne l'a pas découvert.

    Quelqu'un sait-il si free-av est à jour?

    Stéphane

  20. #16
    JPL
    Responsable des forums

    La variante B qui date d'hier serait encore peu répandue. Elle semble plus méchante (tentative de DoS sur www.microsoft.com en plus de www.sco.com) réécriture de divers fichiers locaux.
    N'est pas détectée par les antivirus mis à jour juste après la parution de Mydoom.A. Faire une mise à jour journalière.
    Rien ne sert de penser, il faut réfléchir avant - Pierre Dac

  21. #17
    Cornemuse

    bonsoir
    je ne sais pas ce qui se passe, mais aujourd'hui, impossible de répondre aux sujets... peut-être les cookies.... j'ai la manie de faire le ménage trop souvent...
    donc, une amie m'a envoyé des renseignements précis sur VIRUS, que je vous transmets (pas le virus bien sûr )


    Objet : VIRUS (transmis dans pièce jointe !!! ne pas ouvrir surtout)

    Le virus informatique "Mydoom" ou "Novarg" se répand très rapidement, selon les experts

    SAN JOSE, Californie (AP) - C'est un "ver" transmis par e-mail et qui ressemble à un classique message d'erreur, mais il est particulièrement vicieux et continuait mardi à contaminer à toute allure les ordinateurs de la planète: selon les experts, ce nouveau virus informatique, qui se nomme "Mydoom" ou "Novarg", est à l'origine de la plus grave attaque de ces derniers mois.

    Le "ver" a commencé à se répandre rapidement lundi aux heures d'ouverture des bureaux aux Etats-Unis. De nombreuses épidémies récentes avaient été déclenchées pendant les heures ouvrables en Asie, soit pendant la nuit aux Etats-Unis, laissant ainsi le temps aux concepteurs de logiciels anti-virus de mettre au point de nouvelles défenses avant l'arrivée du virus aux Etats-Unis.

    "Quand un virus se déclenche aux Etats-Unis, il devient en général beaucoup plus fort", estime Vincent Gullotto, concepteur de solutions anti-virus chez Network Associates.
    Selon Mikko Hypponen, directeur de la recherche en anti-virus chez F-Secure Finlande, quelque 200.000 à 300.000 ordinateurs étaient déjà touchés mardi dans le monde entier.

    Ce "ver" infecte les ordinateurs via les systèmes Windows de Microsoft Corp, mais pas seulement.
    A la différence d'autres "vers" également dits "mass-maileurs", "Mydoom" prend l'apparence de différents messages d'erreur techniques, incitant les gens à l'ouvrir plus facilement.
    Il semble aussi ouvrir des portes dérobées ("backdoor") sur certains ordinateurs-cible, que des hackers pourront ensuite utiliser pour prendre le contrôle de l'ordinateur en question. Enfin, il transite également via le réseau de partage de fichiers Kazaa.

    "Mydoom" est enfin programmé pour saturer le site Web de SCO à compter du 1er février. Le site de l'éditeur SCO a déjà été la cible de récentes attaques car il menace les utilisateurs de Linux de poursuites judiciaires, affirmant détenir les droits de propriété intellectuelle d'une partie de ce système libre.
    Sur le Net:
    Consignes de sécurité Microsoft: http://www.microsoft.com/security/protect/default.asp

  22. #18
    Shino91

    Donc voila g lu un peut tout vos post je voulé vous dire kil y a un Scanner de >HDD ki est sorti.

    Voici le lien : Scann de MyDoom

  23. Publicité
  24. #19
    JPL
    Responsable des forums

    Il y a un petit utilitaire sur tous les sites d'éditeurs d'antivirus, et pour des raisons évidentes il vaut mieux utiliser ceux qui sont sur des sites d'éditeurs connus plutôt qu'un programme dont on ne connaît pas l'origine.
    Rien ne sert de penser, il faut réfléchir avant - Pierre Dac

  25. #20
    Shino91

    le lien que j' ai mis c le logiciel du devellopeur du Scann ke g télécharger et mis sur mon ftp c tout

  26. #21
    JPL
    Responsable des forums

    Je n'ai pas mis en doute ton honnêteté, mais cela aurait aussi bien pu être quelqu'un qui voudrait diffuser un nouveau ver ou cheval de Troie. Donc ma position est une position de principe qui ne vise personne.
    Tu aurais mieux fait de donner le lien vers le site initial.
    Rien ne sert de penser, il faut réfléchir avant - Pierre Dac

  27. #22
    Shino91

    Ouep c vrai j avai pas pensé

Discussions similaires

  1. virus Mydoom
    Par vercasand dans le forum Internet - Réseau - Sécurité générale
    Réponses: 6
    Dernier message: 04/05/2006, 11h16
  2. aide TPE 1è S peut on comparer les virus informatiques aux virus biologique?
    Par Nessisla dans le forum TPE / TIPE et autres travaux
    Réponses: 13
    Dernier message: 20/11/2005, 10h13
  3. Virus et failles informatiques : Mydoom.AK attaque et Microsoft se protège
    Par RSSBot dans le forum Commentez les actus, dossiers et définitions
    Réponses: 0
    Dernier message: 24/02/2005, 10h44
  4. MyDoom, le retour : le ver se sert une nouvelle fois de Google...
    Par RSSBot dans le forum Commentez les actus, dossiers et définitions
    Réponses: 0
    Dernier message: 20/02/2005, 09h22
Découvrez nos comparatifs produits sur l'informatique et les technologies.