Annexe - Sécurité
Virus détectés par NOD32 dans notre messagerie - juillet 2006
Win32/Surila.X cheval de Troie
Win32/VB.NEI worm
From AFRICNIC, IP 212.96.25.236
002-2006G01B : Win32/Surila.X cheval de Troie dans un fichier compressé (zip)
Received: from 10.1.4.129 (unverified [212.96.25.236]) by mail1.e-zone.net
(Rockliffe SMTPRA 6.1.22) with ESMTP id <B0008957782@web7.e-zone.net> for
<ray@vinoplanet.com>; Sat, 1 Jul 2006 13:27:51 +0200
Received: from [167.103.41.115] (port=1817 helo=iwznqnl) by 10.1.4.129 with SMTP
for ray@vinoplanet.com ; Sat, 1 Jul 2006 13:29:04 +0100
Message-ID: <043be4b63a7a$417cefab$620eb08b@vrhgab>
From: "MAILER-DAEMON" <MAILER-DAEMON@vinoplanet.com>
To: <ray@vinoplanet.com>
Subject: [virus Win32/Surila.X cheval de Troie] failed
X-NOD32Result: Infected, Win32/Surila.X cheval de Troie
We have suspended some of your email services, to resolve the problem you should
read the attached document.
Avertissement: NOD32 Antivirus System a detecte l'infiltration suivante dans
le message: text.zip - Win32/Surila.X cheval de Troie
|
Expéditeur du virus : 212.96.25.236 |
Mozambique |
|
NAMPULA |
AFRINIC |
Telecom and Internet Service Provider - Lovestone Mamattah - GS Telecom - Accra-Ghana - Richard.Karikari@gstelecom.net
IP Location selon http://www.dnsstuff.com/tools/city.ch?ip=212.96.25.236 : au Ghana (à Nampula ? qui est une ville du Mozambique)
Real-time blacklists for the
sender 212.96.25.236
-
http://www.dnsbl.sorbs.net/cgi-bin/lookup?IP=212.96.25.236
-
http://spamcop.net/w3m?action=checkblock&ip=212.96.25.236
-
http://cbl.abuseat.org/lookup.cgi?ip=212.96.25.236
Virus :
- http://www.viruslist.com/en/viruses/encyclopedia?virusid=92404
- http://www.hormiga.org/antivirus/virus/virus_Win32-Surila.X.html
- Selon Panda : http://www.pandasoftware.com/com/virus_info/encyclopedia/overview.aspx?idvirus=87575&sitepanda=particulares
Surila.U allows hackers to gain remote access to the affected computer in order to carry out actions that compromise user confidentiality and impede the tasks performed on the computer.
016-2006G14B : Win32/VB.NEI worm dans un fichier .HQX (W32.Blackmal.E@mm chez Symantec)
Received: from filipa (unverified [212.96.25.236])
by mail1.e-zone.net (Rockliffe SMTPRA 6.1.22) with SMTP id
<B0009902724@web7.e-zone.net> for <ray@vinoplanet.com>; Fri,
14 Jul 2006 16:10:40 +0200
Date: Fri, 14 Jul 2006 16:10:40 +0200
Message-ID: <B0009902724@web7.e-zone.net>
From: "postmaster" <postmaster@vinoplanet.com>
To: <ray@vinoplanet.com>
Subject: [virus Win32/VB.NEI worm] Fw: Sexy
X-NOD32Result: Infected, Win32/VB.NEI worm
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META http-equiv=3DContent-Type content=3D"text/html; =
charset=3Dwindows-1252">
<META content=3D"MSHTML 6.00.2600.0" name=3DGENERATOR>
<STYLE></STYLE> </HEAD> <BODY>
<DIV align=3Dleft><IMG height=3D180 alt=3D"" hspace=3D0 =src=3D"photo"=20
width=3D130 align=3Dbaseline border=3D0> <IMG=20
style=3D"WIDTH: 134px; HEIGHT: 180px" height=3D180 alt=3D"" hspace=3D0=20
src=3D"photo2" width=3D130 align=3Dbaseline=20
border=3D0> <IMG style=3D"WIDTH: 141px; =
HEIGHT: 180px"=20
height=3D180 alt=3D"" hspace=3D0 src=3D"photo3" width=3D130 =
align=3Dbaseline=20
border=3D0></DIV>
<DIV align=3Dleft> =20
photo &n=
bsp; &nb=
sp; =20
photo2 &=
nbsp; &n=
bsp; =20
photo3</DIV><BR>
Warning: NOD32 antivirus system found the following in the message:
Attachments00.HQX - Win32/VB.NEI worm - renamed to
Attachments00.vHQX
| 212.96.25.236 | MOZAMBIQUE |  |
NAMPULA | NAMPULA | AFRINIC |
Même expéditeur que : 002-2006G01B : Win32/Surila.X cheval de Troie dans un fichier compressé (zip)
Le virus : http://www.eset.com/msgs/vbnei.htm équivalent de W32.Blackmal.E@mm (Symantec) :
http://www.symantec.com/region/fr/techsupp/avcenter/venc/data/fr-w32.blackmal.e@mm.html
W32.Blackmal.E@mm est un ver d'envoi en masse de courrier électronique qui tente de se propager à travers les partages réseau et qui diminue les paramètres de sécurité. Le troisième jour de chaque mois, il tente de remplacer par du texte personnalisé des fichiers avec certaines extensions. Activités : Supprime les fichiers et les entrées de registre des applications de sécurité. - Envoie du courrier électronique à grande échelle : Crée un envoi en masse de lui-même en utilisant des adresses recueillies sur l'ordinateur infecté. - Tente de supprimer des fichiers liés aux programmes de sécurité. La pièce jointe peut être un fichier exécutable ou un fichier MIME qui contient un fichier exécutable. Ces pièces jointes (qui sont des fichiers MIME) peuvent porter l'un des noms suivants : 3.92315089702606E02.UUE - Attachments[001].B64 - Attachments00.HQX - Attachments001.BHX - ...
File Extension.HQX : Macintosh BinHex 4 Compressed Archive