Eklablog Tous les blogs Top blogs Technologie & Science Tous les blogs Technologie & Science
Editer l'article Suivre ce blog Administration + Créer mon blog
MENU

Here You Have ou " Juste pour vous" . Alerte rouge !

 “Here You Have”

Baptisé "Here You Have", le nouveau ver se répand, selon le site du concepteur d'antivirus McAfee, sous plusieurs versions par mail en envoyant des messages à tout le carnet d'adresses des ordinateurs infectés. Un procédé qu'ont connu il y a une dizaine d'années des internautes avec le fameux ver ILOVEYOU.

Ces mails affichent une URL déguisée, pour l'instant désactivée, mais qui renvoie en réalité sur l'un de ces deux liens suivants:
- http:/xxxxxxxx.sharedocuments.xxxxx/library/PDF_Document21.025542010.pdf ;
- http:/xxxxxxxx.sharemovies.xxxxx/library/SEX21.025542010.wmv

Mais d'autres versions du trojan pourraient émerger avec d'autres URL, surtout que le ver, une fois installé, télécharge d'autres fichiers.

Le fichier crée alors des autoruns sur les disques durs et les supports amovibles, pointant vers une copie du trojan nommée open.exe. Dans Windows, il créé un fichier CSRSS.EXE dans le dossier /windows. Il ne faut pas le confondre avec le vrai fichier CSRSS.EXE situé dans le dossier system de Windows. Il se copie aussi à plusieurs endroits sous le nom "N73.Image12.03.2009.JPG.scr".

Sa dangerosité provient surtout du fait qu'une fois installé, le ver désactive la plupart des antivirus du marché, qu'ils soient payants ou gratuits, compliquant sa désinstallation.

Téléchargements des fichiers arbitraires
Worm: Win32/Visal.B tente de télécharger des fichiers depuis le domaine suivant
members.multimania.co.uk

USB désactive le logiciel de protection
Worm: Win32/Visal.B supprime les logiciels de protection USB en supprimant les dossiers suivants:
C: \ Program Files \ Security disque USB
D: \ Program Files \ Security disque USB


Termine les processus
Worm: t Win32/Visal.B erminates l'un des procéssus suivants:
Usbguard.exe
CPE17AntiAutoruna.exe

Efface le fichier HOSTS
Le ver peut supprimer le contenu du fichier Hosts local souvent stockée comme suit:
% Windir% \ system32 \ drivers \ etc \ hosts.
Retrait du contenu du fichier HOSTS permet à l'ordinateur local pour récupérer l'adresse IP destinations à partir du serveur DNS configuré, en contournant les blocs qui peuvent être établies dans le fichier HOSTS de configuration.
 

Voici la première forme du message: "This is The Document I told you about,you can find it Here. Please check it and reply as soon as possible. Cheers.

Et la seconde forme: "Hello : This is The Free Dowload Sex Movies,you can find it Here. http:/xxxxxxxx.sharemovies.xxxxx/library/SEX21.025542010.wmv. Enjoy Your Time. Cheers.

Informations

Itrnews
itespresso.fr
Zataz
Microsoft
McAfee

Entre autres....

Si vous avez un soupçon d'infection allez sur un forum Sécurité sérieux, des personnes formées et bénévoles vous prendront pas la main pour désinfecter votre machine.

N'attendez surtout pas.

Stinger a été mis à jour, téléchargez le et lancez le... Si votre ordinateur est infecté par " Here You Have " ou  Juste pour vous, ou encore AKA/WIN32VBMania@MM (Nom officiel)

Retour à l'accueil
Partager cet article
Repost0
Pour être informé des derniers articles, inscrivez vous :
Commenter cet article