 |
 |
 |
 |
 |
 |
 |
 |
 |
| << Retour au news | ||||||
| ||||||
| Commentaire de javayim: 27/01/2004 | ||||||
| Notez bien que:
Systèmes affectés: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP Systèmes non affectés: DOS, Linux, Macintosh, OS/2, UNIX, Windows 3.x | ||||||
| Commentaire de javayim: 29/01/2004 | ||||||
| Il s'appelle Novarg, MyDoom ou Shimgapi et arrive en pièce jointe à un courrier électronique dont quelques exemples du sujet sont : "hello", "Mail Transaction Failed" ou "Test". Ne cliquez évidemment pas sur cette pièce jointe dont les extensions sont : Cmd, .exe.zip ou .bat. et le nom sera par exemple : "document", "readme" ou "text". Une fois exécuté le virus installera un logiciel espion (backdoor) qui ouvrira les ports TCP de 3127 à 3198 sur l'ordinateur. Ceci permettra au créateur d'installer d'autres fichiers sur l'ordinateur infecté. Le ver se propage ensuite à toutes les adresses de courriers électroniques qu'il trouve dans le carnet d'adresse et dans d'autres fichiers sur le disque dur.
Apparu lundi, ce nouveau virus se propage à une vitesse qui par sa rapidité évoque celle de Sobig en août dernier. Symatec entre autres, en raison d'une augmentation du nombre de soumissions, a rehaussé l'évaluation de risque de W32.Novarg.A@mm au niveau 4 (le niveau 5 étant le degré de menace le plus élevé). Du 1er au 12 février, le ver tentera d'effectuer une attaque par saturation sur le site de l'éditeur de logiciels Sco www.sco.com. Le ver se désactivera le 12 février 2004. Si vous avez été contaminé ou si vous voulez vérifier que vous ne l'êtes pas : -Aller sur le site : http://www.symantec.com/ - cliquer Secutity reponse - cliquer sur W32.Novarg.A@mm dans remove tools (milieu de la page) - cliquer sur http://securityresponse.symantec.com/avcenter/FxNovarg.exe. (en mileu de page) - lancer le proccess | ||||||
|
W32.Novarg.A@mm est un ver d'envoi en masse de courrier électronique qui se présente sous la forme d'une pièce jointe avec l'extension .bat, .cmd, .exe, .pif, .scr ou .zip. Lorsqu'un ordinateur est infecté, le ver installe une porte dérobée (backdoor) sur le système en ouvrant les ports TCP 3127 à 3198. Ceci permet éventuellement à un pirate de se connecter à l'ordinateur et de l'utiliser comme proxy afin d'accéder à ses ressources réseau. De plus, cette porte dérobée permet de télécharger et d'exécuter des fichiers arbitraires.