Forum VRcamping: LA FORCE DU NOUS!

[Serge Loriaux]

Troyen
Agent.JHJ

Agent.JHJ est un programme malicieux de type cheval de Troie. Il se présente sous la forme d'un message sans fichier joint invitant à cliquer sur un lien pour télécharger notamment la vidéo d'une célébrité ou un crack logiciel.

TYPE :
Troyen

SYSTEME(S) CONCERNE(S) :
Windows

ALIAS :
TR/Crypt.FKM.Gen (Antivir)
BackDoor.Small.45.AF (AVG)
Trojan.Downloader.Agent.ZCA (BitDefender)
W32/Downldr2.AXTC (F-Prot)
Trojan-Downloader.Win32.Agent.jhj (F-Secure)
Trojan-Downloader.Win32.Agent.jhj (Kaspersky)
Generic.dx (Mc Afee)
TrojanDownloader:Win32/Cbeplay.B (Microsoft)
Win32/Agent.ETH (NOD32)
Trj/Exchanger.B (Panda)
Troj/Exchan-Gen (Sophos)
Downloader (Symantec)


TAILLE :
43 Ko

DECOUVERTE :
20/02/2008

DESCRIPTION DETAILLEE :
Agent.JHJ est un programme malicieux de type cheval de Troie, c'est-à-dire un programme hostile incapable de se multiplier et de se propager par lui-même contrairement aux virus. Il peut cependant arriver en pièce jointe d'un courrier électronique car son auteur utilise la technique du spamming pour le diffuser. L'expéditeur du message est une adresse électronique usurpée ou générée automatiquement. Quelques titres de message :

NEW Full sexy songs Cameron Diaz

NEW Interesting sexy songs Veronika Zemanova

NEW Kick-up video with a naked celebrity Penelope Cruz

NEW New porno Jennifer Aniston

NEW Shocking video with a naked celebrity Kate Moss

Software Cracked Is !!!

Le corps du message est un texte en couleur au format HTML incitant le destinataire à cliquer sur un lien hypertexte pour télécharger un fichier sous divers prétextes, tel que la vidéo d'une célébrité ou un crack logiciel :

Kylie Minogue New mpeg4.
The photo is Kick-up!
Only 1 day trial - get this Full presentation now!
Download it now!

Britney Spears Kick-up sexy songs.
The melody is Kick-up!
Only 1 day trial - get this Interesting video now!
Download it now!

Britney Spears New video without cowards.
The dvd is New!
Only 1 day trial - get this Full cd now!
Download it now!

Britney Spears New sexy songs.
The mpeg4 is Shocking!
Only 1 day trial - get this Full video now!
Download it now!

Veronika Zemanova Kick-up dvd.
The melody is New!
Only 1 day trial - get this Stunning video now!
Download it now!

RealPlayer Activation codes egnerator Try it Now (Working and Tested)
Get it free now!
Download it now!

Ces liens exploitent une faille du site google.com qui leur permet de prendre l'apparence d'une adresse Google (http://www.google.com/pagead/iclk?sa=l& ... rl=http:// bibo1981.bi.funpic.de/baustelle/ movie/ rdown.php?XjOUk), alors que l'adresse est http:// bibo1981.bi.funpic.de/baustelle/movie/ rdown.php?XjOUk).

Si le destinataire clique sur le lien hypertexte contenu dans le message, il est invité à télécharger et/ou ouvrir un fichier avec une extension .exe (notamment dload.exe ou mpg.exe)

Ce fichier n'est pas une vidéo mais un fichier exécutable. S'il est ouvert, le cheval de Troie se copie sur le disque dur, modifie la base de registres de Windows pour s'exécuter automatiquement à chaque démarrage de l'ordinateur, puis télécharge et installe d'autres programmes malicieux sur l'ordinateur infecté depuis des sites web distants.

[Serge Loriaux]

Virus
Dorf.BA (= Storm Worm)

Dorf.BA est un virus qui se propage par courrier électronique. Il fait partie de l'infection Storm Worm. Il se présente sous la forme d'un message sans fichier joint invitant à ouvrir une carte virtuelle du site Funnypostcard.

TYPE :
Ver

SYSTEME(S) CONCERNE(S) :
Windows

ALIAS :
TR/Crypt.XPACK.Gen (Antivir)
Trojan.Crypt.AP (BitDefender)
Trojan.Crypted-16 (ClamAV)
Troj/Dorf-BA (Sophos)
Trojan.Peacomm (Symantec)
Storm Worm


TAILLE :
137 Ko

DECOUVERTE :
31/03/2008

DESCRIPTION DETAILLEE :
Le virus Dorf.BA se propage par courrier électronique sous la forme d'un message sans fichier joint dont le titre et le corps sont variables, généralement envoyé par spamming. L'expéditeur du message est une adresse électronique usurpée ou générée automatiquement. Quelques titres de message :

Gotcha! All Fool!
Happy All Fools Day!
One who is sportively imposed upon by others on the first day of April
Surprise!

Le corps du message est un court texte incitant le destinataire à cliquer sur un lien hypertexte (adresse IP de la forme XX.XX.XX.XX, XX étant un nombre entre 0 et 255) :

All Fools' Day http://71.***.***.**/


Doh! All's Fool. http://81.***.**.***/


Join the Laugh-A-Lot! http://70.***.***.***/


All Fools' Day http://71.***.**.**/

Après quelques secondes, une boîte de dialogue invite l'internaute à ouvrir ou télécharger un fichier funny.exe :

D'autres liens dans la page permettent de télécharger des fichiers nommés kickme.exe ou foolsday.exe.

Il ne faut pas cliquer sur le lien ni télécharger les fichiers funny.exe, kickme.exe ou foolsday.exe car il s'agit d'une variante du virus Storm Worm. Si un de ces fichiers est exécuté, le virus s'installe sur le disque dur, tente de désactiver les antivirus et logiciels de sécurité installés puis ouvre une porte dérobée permettant la prise de contrôle à distance de l'ordinateur par une personne malveillante, constituant un gigantesque réseau d'ordinateurs "zombies".

[Serge Loriaux]

Une attaque par phishing cible les utilisateurs du logiciel de téléphonie par Internet Skype. Elle se présente sous la forme d'un courrier électronique en anglais intitulé "Please Update Your Billing Information", envoyé en apparence par l'éditeur du logiciel (Skype no-reply <skype-noreply@skype.com>) :

Dear Skype Customer! In order to update your billing information, please sign in to your Skype account at https://secure.skype.com/store/member/l ... n_required, and update your billing information. Thank you for choosing Skype. Sincerely, The Skype Team. ------------------------ This message was sent from a notification-only email address that does not accept incoming email. Please do not reply to this message. ------------------------

Sous prétexte d'une mise à jour de ses informations, le message invite le destinataire à cliquer sur un lien hypertexte puis à se connecter à son compte puis à ressaisir un grand nombre de données bancaires et personnelles.

Il ne faut pas cliquer sur le lien contenu dans le courrier électronique car il conduit à une imitation du site de Skype contrôlée par un individu malveillant, hébergée sur un serveur situé en Israël mais avec un domaine chinois (.cn).

[Serge Loriaux]

Agent.VLI est un programme malicieux de type cheval de Troie. Il se présente sous la forme d'un courrier électronique sans fichier joint invitant à télécharger un nouvel antivirus gratuit sur le site de son éditeur.

TYPE :
Troyen

SYSTEME(S) CONCERNE(S) :
Windows

ALIAS :
TR/Crypt.XPACK.Gen (Antivir)
Trojan.Downloader.Exchanger.Gen.1 (BitDefender)
Trojan.DownLoader.55882 (ClamAV)
Trojan-Downloader.Win32.Agent.vli (Kaspersky)
TrojanDropper:Win32/Nuwar.gen!ldt (Microsoft)
Troj/Agent-HET (Sophos)
Trojan.Erotpics (Symantec)


TAILLE :
81 Ko

DECOUVERTE :
08/07/2008

DESCRIPTION DETAILLEE :
Agent.VLI est un programme malicieux de type cheval de Troie, c'est-à-dire un programme hostile incapable de se multiplier et de se propager par lui-même contrairement aux virus. Il peut cependant arriver en pièce jointe d'un courrier électronique car son auteur utilise la technique du spamming pour le diffuser. L'expéditeur du message est une adresse électronique usurpée ou générée automatiquement. Le titre du message est "Free Antivirus".

Le corps du message est un texte en couleur au format HTML incitant le destinataire à cliquer sur un lien hypertexte pour télécharger un nouvel antivirus gratuit sur le site de son éditeur :

New Free Antivirus!!!
Automatically deletes viruses, internet - worms and trojan components, not creating hindrances work of user.
Downlaod own

Si le destinataire clique sur le lien hypertexte, il est dirigé vers un site Internet d'apparence professionnelle qui invite automatiquement l'utilisateur à exécuter ou télécharger un fichier AntivirusXP2008Installer.exe :

Ce fichier n'est pas un antivirus mais un cheval de Troie. S'il est ouvert, le programme malicieux se copie sur le disque dur, modifie la base de registres de Windows pour s'exécuter automatiquement à chaque démarrage de l'ordinateur, puis télécharge et installe d'autres programmes malicieux depuis des sites web distants.

[Serge Loriaux]

TYPE :

Cheval de Troie

SYSTEME(S) CONCERNE(S) :

Windows

ALIAS :

TR/Crypt.XPACK.Gen (Antivir)
I-Worm/Nuwar.V (AVG)
Trojan.DownLoad.3248 (DrWeb)
W32/Tibs.BF!worm (Fortinet)
Trojan-Downloader.Win32.Exchanger.jt (F-Secure)
Trojan-Downloader.Win32.Exchanger.jt (Kaspersky)
Win32/Agent.ETH (NOD32)
Mal/EncPk-DA (Sophos)
Infostealer (Symantec)


TAILLE :

77 Ko

DECOUVERTE :

04/07/2008


DESCRIPTION DETAILLEE :

Exchanger.JT est un programme malicieux de type cheval de Troie, c'est-à-dire un programme hostile incapable de se multiplier et de se propager par lui-même contrairement aux virus. Il peut cependant arriver par courrier électronique car son auteur utilise la technique du spamming pour le diffuser. L'expéditeur du message est une adresse électronique usurpée ou générée automatiquement. Le titre du message est "CNN.com Daily Top 10".

Le corps du message est au format HTML. Il tente de se faire passer pour le top 10 des histoires et vidéos les plus vues de la chaîne de télévision américaine CNN, envoyé par un ami, incitant le destinataire à cliquer sur un des liens hypertextes qu'il contient.

Si l'internaute clique sur le lien, il est dirigé vers une page intitulée "Watch Free Movie - Update Every Hour!" simulant un problème d'affichage et invitant l'utilisateur à télécharger un fichier get_flash_update.exe, censé être une mise à jour du lecteur Flash, afin de pouvoir accéder au contenu souhaité.

Il ne faut pas cliquer sur les liens ni ouvrir le fichier get_flash_update.exe, car il s'agit en réalité d'un cheval de Troie. Si ce fichier est exécuté, le troyen s'installe sur le disque dur, ouvre une porte dérobée permettant la prise de contrôle à distance de l'ordinateur infecté par une personne malveillante, puis espionne les frappes au clavier pour tenter de dérober les identifiants d'accès aux sites sécurisés et aux services en ligne tels que les banques.

[Serge Loriaux]

Troyen
Frauder.BI

Frauder.BI est un programme malicieux de type cheval de Troie. Il se présente sous la forme d'un courrier électronique envoyé par MSN-Microsoft, faisant la promotion d'une mise à jour du système Windows XP/Vista.

TYPE :
Troyen

SYSTEME(S) CONCERNE(S) :
Windows

ALIAS :
BDS/Frauder.BI (Antivir)
Downloader.FraudLoad.N (AVG)
Trojan.FakeAlert.ACE (BitDefender)
Trojan.Packed.619 (DrWeb)
W32/FakeAV2008.AT (F-Prot)
Trojan-Downloader.Win32.Renos.AS (Ikarus)
Backdoor.Win32.Frauder.bi (Kaspersky)
Downloader-ASH.gen.b (McAfee)
Win32/TrojanDownloader.FakeAlert.HQ (NOD32)
W32/Tibs.gen225 (Norman)
Troj/FakeAle-GH (Sophos)
Trojan.Blusod (Symantec)


TAILLE :
199 Ko

DECOUVERTE :
27/08/2008

DESCRIPTION DETAILLEE :
Frauder.BI est un programme malicieux de type cheval de Troie, c'est-à-dire un programme hostile incapable de se multiplier et de se propager par lui-même contrairement aux virus. Il peut cependant arriver en pièce jointe d'un courrier électronique car son auteur utilise la technique du spamming pour le diffuser. L'expéditeur apparent du message est Microsoft XP (nom masquant en réalité l'adresse électronique du destinataire lui-même).

Le titre du message est cette fois "RE: ® Official Update 2008! ". Le corps du message est un texte au format HTML se présentant comme une lettre d'information signée et envoyée par le service MSN-Microsoft, incitant le destinataire à cliquer un lien hypertexte pour télécharger uen mise à jour de Windows XP ou Windows Vista.

Si le destinataire clique sur le lien, il est dirigé vers une animation Flash malicieuse dont le nom est aléatoire (par exemple 29780274dr0.swf, 94975493lo3.swf, 85195486br8.swf ou 65333834lu5.swf)

Si cette animation est visualisée, elle tente d'exécuter automatiquement le programme malicieux si le lecteur Flash n'est pas à jour dans ses correctifs de sécurité ou propose d'ouvrir un fichier install.exe. Ce fichier n'est pas une mise à jour mais le cheval de Troie lui-même. S'il est ouvert, il se copie sur le disque dur, puis tente de télécharger et d'installer d'autres programmes douteux ou malicieux, dont le faux logiciel de sécurité Antivirus XP 2008.

[Serge Loriaux]

Troyen
FraudPack

FraudPack est un programme malicieux de type cheval de Troie. Il se présente sous la forme d'un message accusant le destinataire d'envoyer des virus, avec comme preuve un fichier log prétendument fourni par son FAI.

TYPE :
Cheval de Troie

SYSTEME(S) CONCERNE(S) :
Windows

ALIAS :
PSW.Generic6.ABAB (AVG)
Trojan.Zbot-2110 (ClamAV)
W32/Malware!OC-based (F-Prot)
Trojan.Win32.FraudPack.gen (F-Secure)
Trojan.Win32.FraudPack.gen (Kaspersky)
Win32/Zbot.gen!B(Microsoftt)
Troj/PWS-ATH (Sophos)
Infostealer.Banker.C (Symantec)


TAILLE :
58 Ko

DECOUVERTE :
09/09/2008

DESCRIPTION DETAILLEE :
FraudPack est un programme malicieux de type cheval de Troie, c'est-à-dire un programme hostile incapable de se multiplier et de se propager par lui-même contrairement aux virus. Il peut cependant arriver en pièce jointe d'un courrier électronique car son auteur utilise la technique du spamming pour le diffuser.

Le cheval de Troie se présente sous la forme d'un courrier électronique en anglais, prétendument envoyé par un internaute dont le nom est variable, accusant le destinataire d'envoyer des virus depuis son ordinateur. Le titre du message est "I am wait your reply". Le corps du message incite à ouvrir le fichier joint, présenté comme un fichier log obtenu auprès du fournisseur d'accès du destinataire, qui établirait sa responsabilité dans les envois malicieux :

To Whom It May Concern:

I am tired of receiving messages containing malicious computer programs (viruses) from your e-mail address!!! If within 1-2 days you do not stop sending messages to my e-mail address, I will have to address this issue to the Police!...

Today I received a hard copy of your data logs from my Internet service provider. The copy contains your IP address, logs of sending malicious programs and your e-mail address details... I am sending you the copy of the document containing your data and logs of sending malicious programs as the proof of your fault!!!!!!

You must print the document containing the list of your data and logs of sending malicious programs and pass it on to your Internet service provider with, so that they could find out why the viruses are sent from your computer to my e-mail address!!!!

Ask your Internet service provider to resolve this problem!!!!

Do this now!!!
Once again!!! If you don?t stop sending the letters, I will address to the Police and file a lawsuit against you!!!

La pièce jointe est une archive nommée IPLOGS.zip, qui contient un fichier IPLOGS.exe. Si ce fichier est exécuté, le cheval de Troie s'installe sur le disque dur, modifie la base de registres pour s'exécuter à chaque démarrage de l'ordinateur, puis espionne les frappes entrées au clavier de l'ordinateur contaminé pour tenter de dérober les identifiants d'accès aux sites sécurisés et aux services en ligne tels que les banques.

[Serge Loriaux]

Voici un courriel que je recois de micro cristal loteries accompagné d'un document .pdf intitulé LA NOTIFICATION. PDF annoncant que je suis le gagnant d'un lot de 250,000 euros de Microsoft Loterie Corporation!

A VOTRE ATTENTION,

NOUS VOUS CONTACTONS PAR CETTE PRESENTE POUR VOUS INFORMER DE VOTRE GAIN ? MICROSOFT LOTERIE CORPORATION.
CECI N'EST PAS UN SPAM NI UN VIRUS, VEUILLEZ TROUVEZ EN FICHIER ATTACHE LA NOTIFICATION DE VOTRE GAIN DE 250.000?? LORS DU DERNIER TIRAGE AU SORT.

APRES VERIFICATION DE LA NOTIFICATION DE VOTRE GAIN EN PIECE JOINTE, VEUILLEZ PRENDRE CONTACT AVEC L'AVOCAT ACCREDITE CI DESSOUS POUR LA PROCEDURE DE RETRAIT DE VOTRE GAIN.

CONTACT DE L'AVOCAT

CABINET D'ETUDE JURIDIQUE DE MA?TRE ADOU LAURENT
AVOCAT ACCREDITE ? MICROSOFT LOTERIE CORPORATION
TEL : 00225 010 250 95
EMAIL : maitreadou.laurent@ymail.com

CORDIALEMENT
DESIREE DACOURY
DIRECTRICE DES OPERATIONS

Il ne faut évidemment pas ouvrir cette pièce jointe qui pourrait être un virus. Microsoft n'a pas de système de loterie!

? moins que ce 250,000 euros soit tellement irrésistible...

[Serge Loriaux]

Internet: un faux antivirus en circulation sur Mac Paru le 26 mai 2011

Source: Par Frédéric Perron, Protégez-vous!

Son objectif: obtenir votre numéro de carte de crédit!

Apparu au début du mois de mai, le faux antivirus est connu sous plusieurs noms, notamment MacDefender, MacProtector, MacSecurity et MacGuard. Il détourne les internautes de sites Web légitimes et leur fait croire que leur ordinateur est infecté par des virus. Si l’usager accepte d’installer le logiciel malveillant, ce dernier lui demande de fournir son numéro de carte de crédit, qui pourrait ensuite être utilisé à des fins frauduleuses.

Rarement ciblée par ce genre de logiciel, Apple a tardé à réagir. Le mardi 24 mai, la compagnie a finalement publié sur son site Web des instructions pour désinstaller le faux antivirus.

Dans les prochains jours, Apple offrira aussi une mise à jour logicielle qui permettra d’enlever automatiquement le faux antivirus et de bloquer son installation.

Trois conseils pratiques

Une page Web imite le Finder du Mac et prétend rechercher des virus dans votre ordinateur? Attention, c’est une arnaque!

Si vous utilisez le logiciel Safari, allez dans l’onglet «Général» des préférences et décochez «Ouvrir automatiquement les fichiers fiables».

Vous pouvez aussi installer un antivirus légitime pour Mac, par exemple Sophos Anti-Virus for Mac Home Edition, Intego VirusBarrier X6 ou encore Kaspersky Anti-Virus 2011 pour Mac.