Trucs et Astuces pour Windows Xp

Netsky.B est un virus qui se propage par email et via les dossiers partagés. Il se présente sous la forme d'un message dont le titre et le nom du fichier joint sont aléatoires, des mots ou expressions ordinaires en anglais tentant d'inciter l'internaute à ouvrir le fichier joint. Si ce dernier est exécuté, le virus s'envoie aux adresses présentes dans le carnet d'adresses Windows ainsi que divers autres fichiers du disque dur, puis tente le cas échéant de se propager via le réseau local en utilisant les ressources partagées.

PREVENTION : Les utilisateurs concernés doivent mettre à jour leur antivirus. D'une manière générale, même si son nom est attrayant il ne faut pas exécuter un fichier joint sans l'avoir au préalable analysé avec un antivirus à jour. DESINFECTION : Avant de commencer la désinfection, il est impératif de s'assurer avoir appliqué les mesures préventives ci-dessus afin d'empêcher toute réinfection de l'ordinateur par le virus. Les utilisateurs ne disposant pas d'un antivirus peuvent utiliser gratuitement l'utilitaire de désinfection AntiNetsky pour rechercher et éliminer le virus.

TYPE :
Ver

SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003

ALIAS :
Moodown.B (F-Secure)
I-Worm.Moodown.b (Kaspersky)
W32/Netsky.b@MM (McAfee)
W32.Netsky.B@mm (Symantec)
WORM_NETSKY.B (Trend Micro)

TAILLE :
22.016 octets

DECOUVERTE :
18/02/2004

DESCRIPTION DETAILLEE :
Le virus Netsky.B se présente sous la forme d'un message dont le titre, le corps et le nom du fichier joint sont aléatoires Quelques titres de messages :

• unknown
• fake
• stolen
• information
• warning
• something for you
• read it immediately
• hello

Le corps du message est un court texte anodin en anglais destiné à exciter la curiosité de l'internaute :

• something is fool
• something is going wrong
• you are bad
• you try to steal
• you feel the same
• you earn money
• thats wrong
• why?
• take it easy
• reply
• do you?
• that's funny
• here, the cheats
• here, the introduction
• here, the serials
• from the chatter
• about me information
• about you
• something is going wrong!
• stuff about you?
• greetings
• see you
• here it is
• that is bad
• yes, really?
• i found this document about you
• your name is wrong
• i hope it is not true!
• kill the writer of this document!
• something about you!
• I have your password!
• you are a bad writer is that from you?
• i wait for a reply!
• is that your account?
• is that your name?
• is that true?
• here
• my hero
• read it immediately!
• here is the document.
• read the details.
• i'm waiting
• what does it mean?
• anything ok?

La pièce jointe possède un nom aléatoire et une extension en .COM, .SCR, .EXE, .PIF ou .ZIP. Quelques exemples :

• object.zip
• mail2.zip
• party.com
• disco.zip
• story.com
• release.rtf.exe
• me.zip
• release.zip
• nomoney.exe

Si le fichier joint est exécuté, le virus se copie dans le répertoire Windows sous le nom SERVICES.EXE, modifie la base de registres afin d'être exécuté à chaque démarrage de l'ordinateur, puis s'envoie automatiquement aux contacts dont les adresses figurent dans le carnet d'adresses Windows ainsi que les fichiers .MSG, .OFT, .SHT, .DBX, .TBB, .ADB, .DOC, .ASP, .UIN, .RFT, .VBS, .HTML, .HTM, .PL, .PHP, .TXT, et .EML présents sur le disque.

Le cas échéant, Netsky.B tente également de se propager via les dossiers partagés, en se copiant sous divers noms aguicheurs :

• doom2.doc.pif
• sex sex sex sex.doc.exe
• rfc compilation.doc.exe
• dictionary.doc.exe
• win longhorn.doc.exe
• e.book.doc.exe
• programming basics.doc.exe
• how to hack.doc.exe
• max payne 2.crack.exe
• e-book.archive.doc.exe
• virii.scr
• nero.7.exe
• eminem - lick my pussy.mp3.pif
• cool screensaver.scr
• serial.txt.exe
• office_crack.exe
• hardcore porn.jpg.exe
• angels.pif
• porno.scr
• matrix.scr
• photoshop 9 crack.exe
• strippoker.exe
• winxp_crack.exe
• dolly_buster.jpg.pif