Arobase.org le guide de l'e-mail
Apparu le 1er mars 2004, le virus/ver Netsky.D se répand actuellement sur Internet. Succédant à Netsky.B (l’un des virus les plus dangereux ayant circulé en février 2004), il se propage en utilisant les messageries e-mail et se présente sous la forme d’un fichier joint au format pif.
Comment Netsky.D se propage-t-il par e-mail ? Netsky, comme la plupart des autres virus, se cache dans un fichier attaché. Il vous suffit d’ouvrir le fichier pour être infecté. Le message véhiculant Netsky est en langue anglaise et s’apparente à un message d’erreur ou un message de test.
- L’objet peut contenir différentes accroches : Re: Approved, Re: Details, Re: Document, Re: Excel file, Re: Hello, Re: Here, Re: Here is the document, Re: Hi, Re: My details, Re: Re: Document, Re: Re: Message, Re: Re: Re: Your document, Re: Re: Thanks!, Re: Thanks!, Re: Word file, Re: Your archive, Re: Your bill, Re: Your details, Re: Your document, Re: Your letter, Re: Your music, Re: Your picture, Re: Your product, Re: Your software, Re: Your text, Re: Your website .
- Le corps du message peut contenir l’une des phrases suivantes : Your file is attached., Please read the attached file., Please have a look at the attached file., See the attached file for details., Here is the file., Your document is attached..
- Les pièces jointes peuvent avoir pour titre document, application, message_details, mp3music, my_details, your_archive, your_bill, your_details, your_document, your_file, your_letter, your_picture, your_product, your_text, your_website, yours et pour unique extension pif.
Quels sont les effets du virus ? Le ver n’agit que sur les PC sous Windows. Il infecte votre ordinateur dès que vous double-cliquez sur la pièce jointe vérolée. Il crée dans le registre une entrée, de manière à ce que le programme winlogon.exe soit exécuté à chaque démarrage de Windows. Il scanne par ailleurs les fichiers de la machine ayant des extensions .wab, .eml, .doc, .html, .msg, y récolte les adresses mail et envoie des copies de lui même à ces adresses à l’insu de l’utilisateur.Que faut-il faire pour ne pas être infecté ? Comme toujours… – Il suffit de ne pas ouvrir la pièce jointe pour que le virus demeure inactif : jetez le message à la corbeille – Si vous avez un anti-virus, nous vous conseillons de le mettre à jour.
Les variantes
| Description | Effets | Que faire ? |
| Netsky.P se présente sous la forme d’un message au format texte ou HTML dont le titre et le corps sont aléatoires, accompagné d’un fichier joint dont l’extension est .SCR, .EXE, .PIF ou .ZIP, en se faisant passer notamment pour un message d’erreur ou un message sécurisé. |
Si l’ordinateur n’est pas à jour dans ses correctifs, la simple ouverture ou prévisualisation du message HTML provoque l’exécution du fichier joint. Si ce dernier est exécuté, le virus s’envoie aux adresses présentes dans le carnet d’adresses Windows et divers autres fichiers, puis se copie dans les dossiers partagés. |
Augmenter le niveau de sécurité de votre ordinateur en téléchargeant les correctifs de sécurité (voir notre page Se protéger). |
| Netsky.Q se présente sous la forme d’un retour d’email erroné, avec en objet un message d’erreur « Delivery Error », « Error » ou « Server Error ». Le message « Mail Delivery – This email couldn’t be displayed » invite le destinataire à ouvrir le message rejeté proposé en « binary attachment », d’extension .pif ou .zip. |
Le virus s’installe sur les machines Windows à l’ouverture du fichier attaché. Il se répand sur le disque dur de la machine infectée et récupère les adresses email afin de pouvoir les exploiter à certaines dates. De plus, il lancera des attaques par déni de services sur des sites de ‘peer to peer’, dont Kazaa et eDonkey, ainsi que sur des sites pirates, les 7 et 12 avril. |
Ne pas cliquer sur la pièce jointe, supprimer le message. |
| Netsky.R se fait passer pour une composante d’un produit de l’éditeur de logiciels anti-virus Panda. Le sujet du mail est « Re: Document (nombre aléatoire) » et le contenu du message « Excuse me, the important document is attached, Yours sincerely ». Le ver comporte enfin une fichier joint intitulé Document ( nombre aléatoire) .pif. |
Si le fichier est exécuté, le ver est envoyé à toutes les adresses qu’il trouve dans les fichiers portant entre autres les extensions suivantes : .eml, .txt, .php, .asp, .wab, .doc, .msg, .rtf, .shtm, .dbx, , .htm, .html, .xml, .mbx, .xls ou .ppt. Netsky.R crée également dans le répertoire Windows un fichier contenant une copie du ver, nommé PandaAVEngine.exe, pour tromper les utilisateurs en leur faisant croire qu’il s’agit d’un composant d’un des produits de Panda Software. Netsky.R a par ailleurs pour objectif de paralyser, via une attaque par deni de service, quelques sites entre le 12 et le 16 avril 2004. |
Ne pas cliquer sur la pièce jointe, supprimer le message. |
| Netsky.X se présente sous la forme d’un message dont le titre et le corps sont aléatoires, accompagné d’un fichier joint dont l’extension est .PIF (26 Ko). Rédigé dans les principales langues européennes, il tente de se faire passer pour un document à lire. |
Si le fichier est exécuté, le virus s’envoie aux adresses présentes dans le carnet d’adresses Windows ainsi que divers autres fichiers, installe une porte dérobée, puis lance une attaque contre plusieurs sites web. |
Ne pas cliquer sur la pièce jointe, supprimer le message. |
| Netsky.AB se présente sous la forme d’un message dont le titre et le corps sont aléatoires, avec un fichier joint dont l’extension est .PIF (18 Ko), tentant de faire croire au destinataire que l’expéditeur a récupéré son mot de passe ou son numéro de carte bancaire pour le pousser à ouvrir le fichier joint. |
Si le fichier est exécuté, le virus s’envoie aux correspondants présents dans le carnet d’adresses Windows et divers fichiers en utilisant une adresse falsifiée. |
Ne pas cliquer sur la pièce jointe, supprimer le message. |
Twitter
Facebook
LinkedIn
Au fait, vous aussi, vous pouvez afficher votre propre avatar dans les commentaires.