• Here You Have ou " Juste pour vous" . Alerte rouge !

     “Here You Have”

    Baptisé "Here You Have", le nouveau ver se répand, selon le site du concepteur d'antivirus McAfee, sous plusieurs versions par mail en envoyant des messages à tout le carnet d'adresses des ordinateurs infectés. Un procédé qu'ont connu il y a une dizaine d'années des internautes avec le fameux ver ILOVEYOU.

    Ces mails affichent une URL déguisée, pour l'instant désactivée, mais qui renvoie en réalité sur l'un de ces deux liens suivants:
    - http:/xxxxxxxx.sharedocuments.xxxxx/library/PDF_Document21.025542010.pdf ;
    - http:/xxxxxxxx.sharemovies.xxxxx/library/SEX21.025542010.wmv

    Mais d'autres versions du trojan pourraient émerger avec d'autres URL, surtout que le ver, une fois installé, télécharge d'autres fichiers.

    Le fichier crée alors des autoruns sur les disques durs et les supports amovibles, pointant vers une copie du trojan nommée open.exe. Dans Windows, il créé un fichier CSRSS.EXE dans le dossier /windows. Il ne faut pas le confondre avec le vrai fichier CSRSS.EXE situé dans le dossier system de Windows. Il se copie aussi à plusieurs endroits sous le nom "N73.Image12.03.2009.JPG.scr".

    Sa dangerosité provient surtout du fait qu'une fois installé, le ver désactive la plupart des antivirus du marché, qu'ils soient payants ou gratuits, compliquant sa désinstallation.

    Téléchargements des fichiers arbitraires
    Worm: Win32/Visal.B tente de télécharger des fichiers depuis le domaine suivant
    members.multimania.co.uk

    USB désactive le logiciel de protection
    Worm: Win32/Visal.B supprime les logiciels de protection USB en supprimant les dossiers suivants:
    C: \ Program Files \ Security disque USB
    D: \ Program Files \ Security disque USB


    Termine les processus
    Worm: t Win32/Visal.B erminates l'un des procéssus suivants:
    Usbguard.exe
    CPE17AntiAutoruna.exe

    Efface le fichier HOSTS
    Le ver peut supprimer le contenu du fichier Hosts local souvent stockée comme suit:
    % Windir% \ system32 \ drivers \ etc \ hosts.
    Retrait du contenu du fichier HOSTS permet à l'ordinateur local pour récupérer l'adresse IP destinations à partir du serveur DNS configuré, en contournant les blocs qui peuvent être établies dans le fichier HOSTS de configuration.
     

    Voici la première forme du message: "This is The Document I told you about,you can find it Here. Please check it and reply as soon as possible. Cheers.

    Et la seconde forme: "Hello : This is The Free Dowload Sex Movies,you can find it Here. http:/xxxxxxxx.sharemovies.xxxxx/library/SEX21.025542010.wmv. Enjoy Your Time. Cheers.

    Informations

    Itrnews
    itespresso.fr
    Zataz
    Microsoft
    McAfee

    Entre autres....

    Si vous avez un soupçon d'infection allez sur un forum Sécurité sérieux, des personnes formées et bénévoles vous prendront pas la main pour désinfecter votre machine.

    N'attendez surtout pas.

    Stinger a été mis à jour, téléchargez le et lancez le... Si votre ordinateur est infecté par " Here You Have " ou  Juste pour vous, ou encore AKA/WIN32VBMania@MM (Nom officiel)


    Tags Tags :
  • Commentaires

    Aucun commentaire pour le moment

    Suivre le flux RSS des commentaires


    Ajouter un commentaire

    Nom / Pseudo :

    E-mail (facultatif) :

    Site Web (facultatif) :

    Commentaire :