|
| |
|
|
| Sommaire Sécurité |
 |
| Nyxem-D : le virus destructeur inquiète par sa propagation |
| Se propageant par courrier électronique et en réseau local, Nyxem-D détruit notamment tous les fichiers PDF, Word et Excel des PC infectés à une date fixe. Il a déjà contaminé plus de 500 000 machines.
(30/01/2006) |
|
 |
En
savoir plus |
|
Dossier 
Virus |
Les spécialistes de la sécurité alertent les internautes quant
au danger que représente le virus W32/Nyxem-D, connu sous la
dénomination commune CME ID 24. Touchant les plates-formes Windows,
ce virus a été conçu pour effacer l'ensemble des fichiers Word,
Excel, Access et PowerPoint, entre autres, chaque 3e jour d'un
nouveau mois.
Apparu le 16 janvier 2006, ce virus a déjà fait l'objet de correctifs
disponibles gratuitement sur les sites des éditeurs d'antivirus.
Mais d'après Xmco Parters, 500 000 ordinateurs auraient déjà
été infectés une semaine après son lancement et il représente
21% de l'activité virale de l'éditeur F-Secure. Pourtant, Nyxem-D
n'exploite aucune faille logicielle. Il se contente de se propager
par le carnet d'adresse des machines infectées à travers son
propre moteur de courrier.
L'accent
des concepteurs a été en revanche mis sur l'ingénierie sociale,
le virus se faisant passer pour un courrier électronique contenant
une image du Kama Sutra. Le titre et le contenu de l'email sont
également racoleurs, et piochés aléatoirement sur une
liste. Ecrit en Visual Basic, le virus est inséré dans le courrier
sous forme d'une pièce jointe de 95 Ko au format Pif, Zip ou
en objet MIME.
La première action de Nyxem-D, si le fichier est ouvert, consiste
à s'installer dans les clés de registre Windows pour se lancer
automatiquement au démarrage. Il se copie dans le répertoire
Windows et dans le sous répertoire System sous divers noms dont
Rundll16.exe, Winzip.exe ou Update.exe. Parallèlement, le virus
cherche à désactiver le fonctionnement des solutions antivirales.
| Le
virus est capable de se mettre à jour à
distance |
Pour cela, il supprime les clés de registre Windows des principales
solutions antivirales pour éviter un lancement au démarrage
de la machine. Il efface également les fichiers .dll nécessaires
au bon fonctionnement de ses applications et termine les processus
antivirus en cours d'exécution. Afin d'augmenter ses chances
de survie, Nyxem-D à la possibilité de télécharger du code à
distance sur les postes infectés et peut ainsi se mettre à jour.
|
En
savoir plus |
|
|
Dossier
Virus |
Nyxem-D est aussi un virus capable d'infecter un réseau local.
Il s'envoie alors sous la forme d'un fichier Winzip_tmp.exe
et cible les ordinateurs où le mot de passe d'accès est faiblement
sécurisé. Les extensions de fichiers supprimés contiennent le
DOC, XLS, MDB, MDE, PPT, PPS, ZIP, RAR, PDF, PSD, DMP. Ils seront
remplacés par une chaîne de caractère contenant : DATA Error
[47 0F 94 93 F4 K5]. Afin de détecter sa présence, il est recommandé
d'utiliser les outils en ligne fournis par les spécialistes
de la sécurité. |
| |
| |
|
|
|
