3. Virus Mimail.EMimail.E est un virus qui se propage par mail dont le titre est "don't be late!", accompagné d'un fichier joint READNOW.ZIP.
Lorsqu'il est exécuté, le virus s'envoit a tous les contacts de votre carnet d'adresse windows puis lance une attaque DoS (déni de service) contre différents sites anti-spam.
Mimail.E est une variante du virus Mimail.C.
L'adresse d'expéditeur du message infecté est john@[nom de domaine], le nom de domaine étant le même que le nom de domaine de l'adresse email du destinataire. (exemple: si votre email est virus@wanadoo.fr, alors l'expéditeur apparaitra comme etant john@wanadoo.fr. Donc ne vous en prenez pas à john, il n'y est pour rien...!).
Si le virus est éxécuter:Il se copie dans votre dossier windows en tant que sysload32.exe.
Il ajoute la valeur:
SystemLoad32" = "%Windir%sysload32.exe
a la clé de registre:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
Tous les emails qu'il trouve sont dans le fichier %Windir%eml.tmp.
Ensuite, il recherche votre connection internet en appelant le site de google.com.
Puis il envoit le meme email que vous avez reçu à tous les emails qu'il a trouvé sur votre pc (récupérées dans tous les fichiers autres que .avi, .bmp, .cab, .com, .dll, .exe, .gif, .jpg, .mp3, .mpg, .ocx, .pdf, .psd, .rar, .tif, .vxd, .wav et .zip)
Enfin, il lance une attaque DoS contre les sites mysupersales.com www.mysupersales.com.
.
Il crée 2 fichiers:
Zip.tmp: copie temporaire de readnow.zip (10,912 bytes). Exe.tmp: copie temporaire de readnow.doc.scr (10,784 bytes).
Pour se désinfecter:
Désactiver la restauration automatique (pour Me/xp).
Mettre a jour son antivirus.
Redemarez en mode dos pour 95/98/Me.
fermer le processus du virsu sous xp/2000
Scanner vos disques durs et supprimer tous les fichiers détectés infectés par mimail.e
Supprimer la valeur ajouté au registre.
Nouveau - l antivirus AOLAfin d'améliorer la sécurité de vos e-mails, AOL vient de mettre en place une nouvelle fonctionnalité : l'antivirus.
Tous les fichiers joints aux e-mails que vous envoyez ou recevez sur AOL ou AOL Mail, sont désormais systématiquement analysés par l'antivirus. Si l'un de vos fichiers contient un virus, AOL vous prévient et le nettoie .
cette fonctionnalité est entièrement gratuite et ne nécessite aucun paramétrage. Les mises à jour de l'antivirus sont assurées automatiquement par AOL.
AOL analyse vos e-mails et vérifie automatiquement si tous les fichiers joints envoyés ou reçus via le logiciel AOL ou AOL Mail (accessible sur www.aol.fr) présentent des risques d'infection.
source: AOLVirus Cult.B alias LanetCult.B est un ver qui utilise son propre moteur de smtp pour se propager. Les destinataires de l'email sont construits aléatoirement d'une liste de nom et d'un domaine choisi. Cult.B essaye également de se propager en utilisant le réseau de partage de KaZaA. De plus, le ver permet une prise de controle à distance du PC infecté.
Le message d'email a les caractéristiques suivantes:
Sujet: Hi, I sent you an eCard from BlueMountain.com
Message:
To view your eCard, open the attachment If you have any comments or questions, please visit http:/ /www.bluemountain.com/customer/index.pd
Thanks for using BlueMountain.com.
Attachement: BlueMountaineCard.pif
Quand il fonctionne, il fait ce qui suit:
1. Se Copie lui-même comme %System%Wuauqmr.exe. L'attribut de ce dossier est placé à caché.
NOTE: %System% est une variable. Le ver localise la dossier système et se copie à cet endroit. Par défaut, c'est C:WindowsSystem (Windows 95/98/Me), C:WinntSystem32 (Windows NT/2000), ou C:WindowsSystem32 (Windows XP).2. Crée le fichier, %System%Awqewqed.dll, qui est un ver de type MIME64-encoded. Le ver n'est pas en activité sous cette forme, ce n'est pas une menace, et les produits d'antivirus ne la détectent pas. Supprimez manuellement la menace si vous la trouvez.
3. Ajoute la valeur:
NvCpTdaemon wuauqmr.exe
aux clefs de registre:
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRunOnce
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
de sorte que le ver fonctionne quand vous demarrez Windows.
4. Crée le dossier, %System%Jdfghtrg, et crée beaucoup de copies de lui-même dans ce dossier, en utilisant les noms de fichier que le ver porte. Quelques exemples:
SMS_sender.exe
DivX 5.03 Codecs.exe
Download accelarator.exe
PaintShop Pro 7 Crack_By_Force.exe
ZoneAlarm Pro KeyGen.exe
Winupdate.exe
5. Ajoute la valeur:
Dir0 012345:%System%jdfghtrg
à la clef de registre:
HKEY_CURRENT_USERSOFTWAREKAZAALocalContent
de sorte que d'autres utilisateurs de KaZaA puissent télécharger les fichiers du ver de ce dossier.
6. Si le logiciel d'exploitation est Windows 95/98/Me, le ver s'enregistre comme processus de service, de sorte qu'il n'est pas visible dans la zone de dialogue.
7. Crée des noms réceptifs aléatoires et emploie les domaines suivants pour produire des adresses d'email:
Email.com
BellAtlantic.net
Verizon.net
Btinternet.com
Gmx.de
Gmx.net
sympatico.ca
wanadoo.fr
wanadoo.nl
planet.nl
adelphia.net
hotmail.com
earthlink.net
otenet.gr
chello.pl
chello.nl
8. Utilise des serveurs smtp dans une liste que le ver transporte pour s'envoyer lui-même à toutes les adresses d'email qu'il crée
9. Se relie aux URLs suivantes pour informer l'intrus:
chat.planet.nl
www.chat-planet.nl
10. Ouvre beaucoup de ports aléatoires TCP
Pour se désinfecter:
Mettre à jour son anti-virus
Scanner vos disques
Supprimer tous les fichiers détectés infectés par Cult.B
Supprimer manuellement %System%Awqewqed.dll
Verifier et corriger les clés de la base de registre modifiées.
Je croi Ke le message et reçus M kaprim00 Nb:Il reconnaît en moyenne une cinquantaine de nouveaux
virus chaque jour alors ci pas des miliers
Dim 18 Jan - 13:35 par MariellePar
» Comment sauvegarder et partager nos fichiers?
Jeu 28 Aoû - 12:13 par MariellePar
» Mise en place d'un proxy
Sam 6 Juil - 9:24 par samfp
» Kerberos Apache, SSH ou Squid impossible - Serveurs Linux
Lun 16 Juil - 13:52 par isador999
» mot de passe !!!
Sam 23 Juin - 0:37 par mr-class
» Comparer (points forts et points faibles) les plateformes
Mar 19 Juin - 11:08 par nana85
» HSRP et VRRP
Ven 25 Mai - 15:53 par azertyuiop
» J'ai besoin de votre aide svp
Ven 25 Mai - 15:46 par azertyuiop
» client xp
Mer 25 Avr - 10:58 par wissalnouran