les alertes

Restarter.F est un virus qui se propage via le logiciel de messagerie instantanée MSN Messenger. Il se présente sous la forme d'un message contenant un lien vers un site Internet affichant une photo du destinataire. S'il clique sur le lien, ce dernier est invité à ouvrir un fichier personnalisé dont le nom contient son nom d'utilisateur, qui est le virus

PREVENTION :
Les utilisateurs concernés doivent mettre à jour leur antivirus. D'une manière générale, même si son nom est intrigant ou attrayant il ne faut pas exécuter un fichier douteux sans avoir fait confirmer son envoi par l'expéditeur présumé du message puis l'avoir analysé avec au moins un antivirus à jour.
DESINFECTION :
Avant de commencer la désinfection, il est impératif de s'assurer avoir appliqué les mesures préventives ci-dessus pour éviter une réinfection. Les utilisateurs ne disposant pas d'un antivirus peuvent utiliser MSNFix pour supprimer Restarter.F.

TYPE :
Ver
SYSTEME(S) CONCERNE(S) :
Windows
ALIAS :
TR/Crypt.XPACK.Gen (Antivir)
Trojan.IRCBot-1698 (ClamAV)
W32/Smalltroj.CXEI (F-Secure)
Trojan.Win32.Restarter.f (Kaspersky)
Win32/IRCBot.ADS (NOD32)
W32/Smalltroj.CXEI (Norman)
Mal/Generic-A (Sophos)

TAILLE :
78 Ko
DECOUVERTE :
26/02/2008
DESCRIPTION DETAILLEE :
Le virus Restarter.F se propage via le logiciel MSN Messenger et se présente sous la forme d'un message prétendument envoyé par un contact connecté, accompagné d'un lien vers un site Internet malicieux.
Exemple de lien piégé :

http:// msn-photos.isuisse. com/?photo=[nom d'utilisateur du destinataire]

Exemple de message :

ta tof fais koi sur ce site

Si le destinataire clique sur ce lien, il est invité à télécharger et/ou ouvrir un fichier avec une extension .com, généré à la volée en incluant dans son nom le nom d'utilisateur du destinataire, pour une plus grande personnalisation (par exemple fichier toto22-photo12.com si le nom d'utilisateur est toto22). Si ce fichier est ouvert, le virus se copie sur le disque dur, modifie ensuite la base de registres pour s'exécuter automatiquement à chaque démarrage de l'ordinateur, s'envoie régulièrement à tous les contacts MSN puis ouvre une porte dérobée, se mettant en attente d'instructions en provenance d'un canal IRC permettant la prise de contrôle à distance de l'ordinateur.
Si vous recevez des messages semblables, c'est parce que l'ordinateur d'au moins un de vos correspondants est infecté : afin de stopper Restarter.F, contactez la personne indiquée comme étant l'expéditrice des messages par Messenger ou par courriel pour l'informer que son ordinateur envoie des virus et suggérez-lui de contacter l'ensemble de ses contacts MSN pour les prévenir de ne pas ouvrir les fichiers .com ou sinon de désinfecter leur ordinateur.
03/03/08 : diffusion d'une nouvelle variante du virus selon le même scénario, mais en utilisant un lien différent (http:// msn-albums.isuisse. com/?photo=[nom d'utilisateur du destinataire]) et un nom également légèrement différent pour le programme malicieux ([nom d'utilisateur du destinataire]-photo5.com).Cette variante est identifiée sous les noms TR/Crypt.XPACK.Gen (Antivir), Trojan.Win32.Pakes.cgr (Kaspersky).

Une nouvelle attaque par phishing cible les utilisateurs de la messagerie Gmail de Google. Elle se présente sous la forme d'un courrier électronique en français intitulé "Service Client Gmail.", envoyé en apparence par Google (Service Client ) :

Sous prétexte d'une vérification du compte, le message demande à l'internaute de répondre au courrier électronique après avoir indiqué son nom d'utilisateur et son mot de passe. Il ne faut pas répondre au courriel car l'adresse de réponse du message (service.administrateur.info@gmail.com) n'est pas une adresse officielle de la société Google mais appartient à un individu malveillant qui cherche à s'emparer de comptes de courrier Gmail.