(((Beau petit virus de Noël)))
Résolu
jalobservateur
Messages postés
7372
Date d'inscription
Statut
Contributeur sécurité
Dernière intervention
-
jalobservateur Messages postés 7372 Date d'inscription Statut Contributeur sécurité Dernière intervention -
jalobservateur Messages postés 7372 Date d'inscription Statut Contributeur sécurité Dernière intervention -
Bonjour,
--
S"V"P. ((Veuillez lire attentivement les recommandations.))
((Cela évite de répéter)). (Firefox) = ((Navigations + Sécuritaires!!!))
Tradition oblige !!!
Création d'un gros emmerdeur encore !
https://www.clubic.com/actualite-89442-troyen-noel-2007.html?xtor=EPR-3
Dangeureux et malicieux au max !!! Email-Worm.Win32.Zhelatin.pd.
Jalobservateur
--
S"V"P. ((Veuillez lire attentivement les recommandations.))
((Cela évite de répéter)). (Firefox) = ((Navigations + Sécuritaires!!!))
Tradition oblige !!!
Création d'un gros emmerdeur encore !
https://www.clubic.com/actualite-89442-troyen-noel-2007.html?xtor=EPR-3
Dangeureux et malicieux au max !!! Email-Worm.Win32.Zhelatin.pd.
Jalobservateur
Configuration: Windows Vista Firefox 2.0.0.11
5 réponses
-
-
--
S"V"P. ((Veuillez lire attentivement les recommandations.))
((Cela évite de répéter)). (Firefox) = ((Navigations + Sécuritaires!!!))
Et ? ceci: https://www.clubic.com/actualite-89442-troyen-noel-2007.html?xtor=EPR-3 -
Ben valà, tout de suite c'est plus clair ^^
Je cite l'article:le Troyen en question s'appuie sur un email, proche d'un SPAM qui contient l'un des messages suivants en anglais : « Find Some Christmas Tail », « Warm Up this Christmas » ou « Mrs. Clause Is Out Tonight ! ». Le tout est accompagné d'un lien sur lequel le lecteur est invité à cliquer.
-
Salut à tous
Le ver Zhelatin ne s'arrête pas qu'à une propagation par mails apparement.
Via des outils automatisant la tâche, de nombreux forums/blogs sont aussi envahis de messages/spams invitant à cliquer sur un lien infecté, example ici.
En cliquant sur ces liens on peut être par exemple, invité à télécharger un fichier se nommant happynewyear2008.exe :
Fichier qui après analyse est détecté comme étant :Scanner Results Scan Engine Version Signature Version Result AhnLab-V3 2007.12.28.10 20071227 OK AntiVir 7.6.0.46 20071227 TR/Crypt.XDR.Gen Authentium 4.93.8 20071227 W32/Dropper.gen6 Avast 4.7.1098.0 20071226 Win32:Zhelatin-ASX AVG 7.5.0.516 20071227 Dropper.Generic.TLX BitDefender 7.2 20071227 Trojan.Peed.IRG CAT-QuickHeal 9.00 20071227 OK ClamAV 0.91.2 20071227 Trojan.Peed-66 DrWeb 4.44.0.09170 20071227 Trojan.Spambot.2386 eSafe 7.0.15.0 20071226 OK eTrust-Vet 31.3.5406 20071227 OK Ewido 4.0 20071227 OK F-Prot 4.4.2.54 20071226 W32/Dropper.gen6 F-Secure 6.70.13030.0 20071227 Email-Worm.Win32.Zhelatin.pr FileAdvisor 1 20071227 OK Fortinet 3.14.0.0 20071227 W32/Tibs.G@mm Ikarus T3.1.1.15 20071227 OK Kaspersky 7.0.0.125 20071227 Email-Worm.Win32.Zhelatin.pr McAfee 5193 20071226 OK Microsoft 1.3109 20071227 OK NOD32v2 2750 20071227 Win32/Nuwar.BA Norman 5.80.02 20071227 OK Panda 9.0.0.4 20071227 Suspicious file Prevx1 V2 20071227 Stormy:Worm-All Variants Rising 20.24.32.00 20071227 OK Sophos 4.24.0 20071227 Mal/Dorf-H Sunbelt 2.2.907.0 20071227 OK Symantec 10 20071227 Trojan.Peacomm TheHacker 6.2.9.171 20071227 OK VBA32 3.12.2.5 20071226 OK VirusBuster 4.3.26:9 20071227 Trojan.DR.Zhelatin.AS Webwasher-Gateway 6.6.2 20071227 Trojan.Crypt.XDR.Gen
Le rootkit qui est ainsi installé, envois du spam en masse et télécharges d'autres infections.
Vous pouvez d'ores et déjà bloquer l'accès à ce nom de domaine ainsi qu'aux IP des différents serveurs :
merrychristmasdude.com (2007--1-2- 27: 1:8:)
Domain name: merrychristmasdude.com
Name Server: ns.merrychristmasdude.com 70.244.32.245
Name Server: ns10.merrychristmasdude.com 88.251.192.177
Name Server: ns11.merrychristmasdude.com 89.178.169.176
Name Server: ns12.merrychristmasdude.com 88.168.208.63
Name Server: ns13.merrychristmasdude.com 79.18.3.56
Name Server: ns2.merrychristmasdude.com 68.40.145.194
Name Server: ns3.merrychristmasdude.com 65.186.222.187
Name Server: ns4.merrychristmasdude.com 81.190.189.216
Name Server: ns5.merrychristmasdude.com 123.192.11.246
Name Server: ns6.merrychristmasdude.com 86.150.47.149
Name Server: ns7.merrychristmasdude.com 81.241.112.69
Name Server: ns8.merrychristmasdude.com 217.228.224.172
Name Server: ns9.merrychristmasdude.com 84.28.147.11
Creation Date: 2007.11.27
Updated Date: 2007.12.17
Expiration Date: 2008.11.27
Status: DELEGATED
Registrant ID: P4DHBN0-RU
Registrant Name: John A Cortas
Registrant Organization: John A Cortas
Registrant Street1: Green st 322, fl.10
Registrant City: Toronto
Registrant Postal Code: 12345
Registrant Country: CA
Administrative, Technical Contact
Contact ID: P4DHBN0-RU
Contact Name: John A Cortas
Contact Organization: John A Cortas
Contact Street1: Green st 322, fl.10
Contact City: Toronto
Contact Postal Code: 12345
Contact Country: CA
Contact Phone: +1 435 2312633
Contact E-mail: cortas2008@yahoo.com
Registrar: ANO Regional Network Information Center dba RU-CENTER
Last updated on 2007.12.27 20:23:29 MSK/MSD
Un de plus pour alimenter les réseaux zombies zunker/bzubs, qui ont encore de beaux jours devant eux malheureusement...
@++ -
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question -
--
S"V"P. ((Veuillez lire attentivement les recommandations.))
((Cela évite de répéter)). (Firefox) = ((Navigations + Sécuritaires!!!))
Exactement moe!
J'ai eu une fois affaire à cette bibite cette année
Pas très commode en effet.
Tu as ici une excellente description et d'instructifs choses à partager !
Ouais pendant que je mettais ce lien ici ,je recevais du coup ce email : http://www.commentcamarche.net/forum/affich 4435394 en 2008 protegez vous#0
Présage??? Si c'est le cas: Une grosse année en perspective ! ;-)
