Virus : My Doom

Attention Virus :
MyDoom, le premier virus d'importance pour 2004

Fiche signalitique

Type : ver 32 bits, mass mailer
Taille : 22 528 Bits
Systèmes affectés : Windows 95, 98, ME, NT, 2000, XP, Windows Server 2003

Objets possibles du courriel :
test / hi / hello / Mail Delivery System / Mail Transaction / Failed / Server Report / Status Error / <Caractères aléatoires> / <Rien>

Messages possibles :
"Mail Transaction Failed. Partial message is available"
" The message contains Unicode characters and has been sent as a binary attachment"
" The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment"
"test"

Noms possibles pour la pièce attachée :
document / readme / doc / text / file / data / test / message / body

Extensions possibles de la pièce attachée :
.pif / .scr /.exe /.cmd /.bat /.zip

Fichiers mis à disposition dans Kazaa (extensions .pif, .scr ou .bat) :
winamp5 / icq2004-final / activation_crack / strip-girl-2.0bdcom_patches / rootkitXP / office_crack / nuke2004

Fichiers créés
- "shimgapi.dll", dans le dossier System (porte dérobée et serveur proxy)
- "Message", dans le dossier temp

Valeurs ajoutées aux clés de registre :
"Taskmon = taskmon.exe" ajouté à :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
"(Par défaut)" = "%System%\shimgapi.dll" ajouté à :
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32 (sources Symantec)

Apparu lundi 26 janvier sur Internet, le virus MyDoom aussi nommé Novarg ou Mimail Q / R, s'est propagé à une vitesse phénoménale et constitue actuellement une alerte virale extrêmement sérieuse.
En deux jours, plus de 3 millions d'interceptions ont été enregistrées, un record dans l'histoire des virus !

Ce virus, du type "vers", est un spammeur de masse, utilisant des techniques de pièces attachées trompeuses (simulant des erreurs de courriel) et ouvrant une porte dérobée pouvant servir à la prise de contrôle des postes contaminés à distance.
My Doom a vraissemblablement été conçu en Russie. Sa durée de vie est courte : jusqu'au 12 février. Entre temps, une attaque en déni de service est prévue contre le site Sco.com (l'éditeur de l'univers Unix/Linux") et celui de Microsoft.

SCO a réagi en annonçant qu'il offrait une récompense de 250.000 dollars "pour toute information qui conduirait à l'arrestation et à la condamnation des personnes responsables de ce crime".
SCO irrite la communauté des nombreux avocats du système d'exploitation libre Linux depuis qu'il revendique la propriété intellectuelle sur certaines lignes de codes du programme, qu'il dit tirées de son système d'exploitation propriétaire Unix.

Près de 580 000 copies ont été interceptées dans 168 pays depuis son apparition indique la société Message Labs, spécialisée dans la sécurité des boites aux lettres électroniques. Le virus se diffuse via les courriels, il s'introduit dans les carnets d'adresse et se diffuse très largement en quelques minutes. Il se propage également via le logiciel de partage de fichiers Kazaa.

De son côté, Symantec, autre société spécialisée dans la lutte contre les virus, a relevé son niveau d'alerte pour Novarg de 3 à 4, estimant que la vitesse de propagation de ce virus rejoint celle de Sobig, découvert en août 2003.

Si le virus se propage rapidement, il n'est pas aussi dangereux qu'on pourrait se l'imaginer ( du moins pour les particuliers, puisque que ce ne sont pas la cible de ce ver qui prépare surtout son attaque contre le site de Sco et Microsoft) ; Symantec propose un outil de désinfection du virus : téléchargez le pour être sur que votre ordinateur ne soit pas infecté.
Sco.com a donc été la cible, dimanche 1er février d'attaques massives du virus MyDoom, le site est momentanément indisponible et n'a su faire face à cette menace pourtant annoncée à l'avance...

Une version B de ce virus a déjà été détecté et pourrait faire davantage de dégats...

CONTACTEZ NOUS : info-artezia@caramail.com