Virus: Novarg/Mydoom

[JPL]

Attention. Le petit nouveau (26/1/04) est le ver W32.Novarg.A@mm [Symantec] ou W32/Mydoom@MM [McAfee] ou WORM_MIMAIL.R [Trend]

Il semble attaquer en masse. J'en ai déjà reçu 2 par mail alors que mon adresse est peu diffusée. Le premier texte de mail était :
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
et le deuxième :
The message contains Unicode characters and has been sent as a binary attachment.

Le document attaché fait 222,5 Ko (exactement 22,258 octets) et peut avoir diverses extensions, dont l'extension zip qui n'est pas courante pour un ver.

Les dégâts possibles ne sont pas encore très connus, sauf qu'il envoie des mails infectés en masse, installe une backdoor qui ouvre les ports TCP 3127 à 3198 ce qui lui permet éventuellement de télécharger et d'exécuter des programmes nocifs venant de l'extérieur.

Il est aussi programmé pour effectuer le 1/2 et le 12/2 une attaque en masse à partir des ordinateurs contaminés vers le site www.sco.com (site de la version SCO d'UNIX). Cette attaque en masse aboutirait à un déni de service (DoS) qui paralyserait ce site.
Il semble également programmé pour arrêter sa diffusion après le 12/2 (ce qui ne prouve rien car il peut fort bien être remplacé par une nouvelle version).

Par ailleurs le ver Dumaru.Y également très récent semble poser un problème. Je cite d'après http://www.secuser.com :

Dumaru.Y est un virus qui se propage par email. Il se présente sous
la forme d'un message prétendument envoyé par une correspondante
prénommée Elene, dont le titre est "Important information for you.
Read it immediately !" accompagné d'un fichier archive myphoto.zip.
Si le fichier contenu dans ce dernier est exécuté, le virus s'envoie
aux correspondants dont les adresses e-mail figurent dans le carnet
d'adresses Windows et divers autres fichiers, installe un cheval de
Troie puis un keylogger qui espionne les frappes au clavier

Or d'après une observation postée sur fr.comp.securite.virus il semblerait qu'il suffirait de déziper le fichier pour être infecté. J'ai des doutes, mais il vaut mieux se méfier.
-----

[JPL]

J'oubliais, le ver se propage par Kazaa et se copie sous divers noms tentateurs dans le répertoire partagé de Kazaa.

[invite39cd7b46]

Merci de l'info je vais faire attention. Présentement je n'ai recu aucun message de ce genre dans mes 3 boîtes de réception.

[JPL]

J'ajoute que le corps du message contenir d'autres textes que ceux que j'ai cités. Quelqu'un a même signalé que le texte qu'il avait reçu était une protestation contre le fait (faux bien entendu) qu'il aurait envoyé le virus au soi-disant expéditeur du message.

Jusqu'à présent la seule chose qui paraît stable, c'est la taille de la pièce attachée.
Hier le serveur de mails de l'IUT Bordeaux 1 en a intercepté 500 entre entre 11h45 et 17h15.

[A voir en vidéo sur Futura]

[invitebe767243]

Merci j'ai recu les 3 ce matin dans 3 boites differentes dont une ou peu de personne ont l'adresse aie !!!

Estce que les anti virus sont à jour ?!!

[JPL]

Estce que les anti virus sont à jour ?!!

A ma connaissance oui, si tu as fait un téléchargement de la base de signature aujourd'hui ou hier.

Dernière info : j'en ai reçu un avec l'extension zip. Il est légèrement plus long que pour les autres extensions (c'est normal s'il est déjà compressé à son état normal puisque le format zip rajoute ses en-têtes).

[Cornemuse]

bonjour
merci pour l'info - je viens de poster un nouveau message sur "alerte virus", mais en fait, c'est ici que j'aurai du le mettre, j'ai fait la recherche "backdoor" dans mes fichiers, rien... donc tout va bien, mais je me pose toujours la question : est-ce que ce n'est pas la société de vente antivirus qui ferait un tel envoi ? pour inciter à l'achat ??
bonne journée

[invite504c296f]

JPL > As-tu des précisions sur son fonctionnement exact, la faille utilisée, les appels, ... ? Depuis hier notre service à dû en recevoir une trentaine et je ne sais pour l'heure s'ils ont été activés sur les postes de mes collègues (je leur ai pourtant bien dit de passer sur le manchot, mais rien à faire ).
Merci

[Cornemuse]

non car j'ai tout effacé, mais j'aurai du imprimer, trop tard, j'y penserai la prochaine fois....

[invite504c296f]

ARGH, des utilisateurs Linux pourraient ils confirmer : J'utilise Kmail 1.5.4 sur une Debian Sid kernel 2.4.20, et je viens de voir qu'un des postes du réseau (Windows 95) à reçu ce matin un des virus (Objet = 'Status') dont je serais l'expéditeur !
Trois solutions : 1- mon poste est réellement infecté, donc les virus touchent aussi Linux !
2 - Les serveurs SMTP hébergeants les comptes sont vérollés, le notre est hébergé chez Wanadoo (plateforme?)
3 - Le virus change le nom de l'expéditeur, semant ainsi le trouble.
Toute info bienvenue.

[Mouquiette]

Joshua_fr :

Je viens de m'envoyer le virus sous Kmail, et apparement je ne suis pas infecté. De toute facon cela me parait bizarre qu'un virus soit multiplateforme, surtout vu sa petite taille. Je pencherais plutot pour la solution 3, qui s'est vu employée plusieurs fois.
Bon je vais infecter mon windows pour voir ce que peux faire ce petit virus, je vous tient au courant

[invite504c296f]

J'ai des doutes quant à la fiabilité de la plateforme Wanadoo, hier nous avons eu beaucoup de soucis à l'envoi de mails pendant plus de 2 heures, avec des retours d'erreurs multiples et incohérents.
De plus, il me semble que le traffic internet soit affecté par ces virus, avec des lenteurs exaspérantes (oui bon je sais, avant l'ADSL nous utilisions des 56 voir 33K, mais bon, on s'y fait vite n'est-ce pas ).

[JPL]

3 - Le virus change le nom de l'expéditeur, semant ainsi le trouble.

Oui, il prélève des adresse dans divers fichiers présents sur l'ordinateur. Aucun ver actuel ne met dans le From: l'adresse dont il provient. Elémentaire.

Bon je vais infecter mon windows pour voir ce que peux faire ce petit virus, je vous tient au courant

Surtout pas s'il est relié à l'internet !

[invite504c296f]

Il est aussi programmé pour effectuer le 1/2 et le 12/2 une attaque en masse à partir des ordinateurs contaminés vers le site www.sco.com

Je vais désactivé les antivirus

[invitecb70ab37]

Oui, à noter que malgré que nous ayons recus 4 messages d'alerte hier, un de mes collègues a ouvert un attachement zippé provenant d'une collègue en Angleterre...et c'était norvarg!
Mac Affee a été mis à jour hier, ca c'est sûr.
Le ver ajoute un fichier.dll et modifie 2 fichiers windows, dont taskmon, et évidemment il fout la pagaille dans le registry.

Par contre, un site dont j'ai oublié le nom et qui permet de scanner l'ordi "online" ne l'a pas découvert.

Quelqu'un sait-il si free-av est à jour?

Stéphane

[JPL]

La variante B qui date d'hier serait encore peu répandue. Elle semble plus méchante (tentative de DoS sur www.microsoft.com en plus de www.sco.com) réécriture de divers fichiers locaux.
N'est pas détectée par les antivirus mis à jour juste après la parution de Mydoom.A. Faire une mise à jour journalière.

[Cornemuse]

bonsoir
je ne sais pas ce qui se passe, mais aujourd'hui, impossible de répondre aux sujets... peut-être les cookies.... j'ai la manie de faire le ménage trop souvent...
donc, une amie m'a envoyé des renseignements précis sur VIRUS, que je vous transmets (pas le virus bien sûr )


Objet : VIRUS (transmis dans pièce jointe !!! ne pas ouvrir surtout)

Le virus informatique "Mydoom" ou "Novarg" se répand très rapidement, selon les experts

SAN JOSE, Californie (AP) - C'est un "ver" transmis par e-mail et qui ressemble à un classique message d'erreur, mais il est particulièrement vicieux et continuait mardi à contaminer à toute allure les ordinateurs de la planète: selon les experts, ce nouveau virus informatique, qui se nomme "Mydoom" ou "Novarg", est à l'origine de la plus grave attaque de ces derniers mois.

Le "ver" a commencé à se répandre rapidement lundi aux heures d'ouverture des bureaux aux Etats-Unis. De nombreuses épidémies récentes avaient été déclenchées pendant les heures ouvrables en Asie, soit pendant la nuit aux Etats-Unis, laissant ainsi le temps aux concepteurs de logiciels anti-virus de mettre au point de nouvelles défenses avant l'arrivée du virus aux Etats-Unis.

"Quand un virus se déclenche aux Etats-Unis, il devient en général beaucoup plus fort", estime Vincent Gullotto, concepteur de solutions anti-virus chez Network Associates.
Selon Mikko Hypponen, directeur de la recherche en anti-virus chez F-Secure Finlande, quelque 200.000 à 300.000 ordinateurs étaient déjà touchés mardi dans le monde entier.

Ce "ver" infecte les ordinateurs via les systèmes Windows de Microsoft Corp, mais pas seulement.
A la différence d'autres "vers" également dits "mass-maileurs", "Mydoom" prend l'apparence de différents messages d'erreur techniques, incitant les gens à l'ouvrir plus facilement.
Il semble aussi ouvrir des portes dérobées ("backdoor") sur certains ordinateurs-cible, que des hackers pourront ensuite utiliser pour prendre le contrôle de l'ordinateur en question. Enfin, il transite également via le réseau de partage de fichiers Kazaa.

"Mydoom" est enfin programmé pour saturer le site Web de SCO à compter du 1er février. Le site de l'éditeur SCO a déjà été la cible de récentes attaques car il menace les utilisateurs de Linux de poursuites judiciaires, affirmant détenir les droits de propriété intellectuelle d'une partie de ce système libre.
Sur le Net:
Consignes de sécurité Microsoft: http://www.microsoft.com/security/protect/default.asp

[invite6df18258]

Donc voila g lu un peut tout vos post je voulé vous dire kil y a un Scanner de >HDD ki est sorti.

Voici le lien : Scann de MyDoom

[JPL]

Il y a un petit utilitaire sur tous les sites d'éditeurs d'antivirus, et pour des raisons évidentes il vaut mieux utiliser ceux qui sont sur des sites d'éditeurs connus plutôt qu'un programme dont on ne connaît pas l'origine.

[invite6df18258]

le lien que j' ai mis c le logiciel du devellopeur du Scann ke g télécharger et mis sur mon ftp c tout

[JPL]

Je n'ai pas mis en doute ton honnêteté, mais cela aurait aussi bien pu être quelqu'un qui voudrait diffuser un nouveau ver ou cheval de Troie. Donc ma position est une position de principe qui ne vise personne.
Tu aurais mieux fait de donner le lien vers le site initial.

[invite6df18258]

Ouep c vrai j avai pas pensé