[Alerte] Nyxem-D aka Blackmal-E ou Kama Sutra
Forum Sécurité - Virus : [Alerte] Nyxem-D aka Blackmal-E ou Kama Sutra
Salut à tous,
Je vous communique l'info de chez secuser.com :
Blackmal.E est un virus qui se propage par courrier électronique et via les partages réseau. Il se présente sous la forme d'un message dont le titre et le corps sont aléatoires, accompagné d'un fichier joint dont l'extension est variable (95 à 135 Ko), en tentant de se faire passer pour une image ou un document à voir. Si ce fichier est exécuté, le virus tente de supprimer ou désactiver certains antivirus et logiciels de sécurité, puis il s'envoie en masse à des adresses récoltées sur le disque dur. Le 3 de chaque mois, il efface certains fichiers.
DESCRIPTION DETAILLEE :
Le virus Blackmal.E se présente sous la forme d'un message dont le titre, le corps et le nom du fichier joint sont aléatoires Les titres de message :
*Hot Movie*
A Great Video
Arab sex DSC-00465.jpg
eBook.pdf
Fw:
Fw: DSC-00465.jpg
Fw: Funny 
Fw: Picturs
Fw: Real show
Fw: SeX.mpg
Fw: Sexy
Fwd: Crazy illegal Sex!
Fwd: image.jpg
Fwd: Photo
give me a kiss
Miss Lebanon 2006
My photos
Part 1 of 6 Video clipe
Photos
Re:
School girl fantasies gone bad
Word file
Le corps du message est un court texte en anglais destiné à inciter l'internaute à ouvrir le fichier joint :
Note: forwarded message attached.
You Must View This Videoclip!
>> forwarded message
Re: Sex Video
i just any one see my photos.
It's Free
The Best Videoclip Ever
Hot XXX Yahoo Groups
####in Kama Sutra pics
ready to be ####ED 
forwarded message attached.
VIDEOS! FREE! (US$ 0,00)
What?
i send the file.
Helloi attached the details.
Thank you
the file i send the details
hello,
Please see the file.
how are you?
i send the details.
La pièce jointe est généralement un fichier exécutable possédant un nom aléatoire et une extension variable (de 95 à 135 Ko), tentant de se faire passer pour une image ou un document attrayant :
007.pif
392315089702606E-02,.scR
677.pif
Adults_9,zip.sCR
ATT01.zip.sCR
Attachments[001],B64.sCr
Clipe,zip.sCr
document.pif
DSC-00465.Pif
DSC-00465.pIf
eBook.PIF
image04.pif
New Video,zip
New_Document_file.pif
photo.pif
Photos,zip.sCR
School.pif
SeX,zip.scR
WinZip,zip.scR
WinZip.BHX
WinZip.zip.sCR
Word XP.zip.sCR
Word.zip.sCR
04.pif
DSC-00465.Pif
DSC-00465.pIf
image04.pif
Elle peut également être un fichier MIME contenant un fichier exécutable :
3.92315089702606E02.UUE
Attachments[001].B64
Attachments00.HQX
Attachments001.BHX
eBook.Uu
Original Message.B64
Sex.mim
SeX.mim
Video_part.mim
WinZip.BHX
Word_Document.hqx
Word_Document.uu
Si ce fichier est exécuté, le virus se copie dans le répertoire Windows sous le nom Rundll16.exe et dans le répertoire System sous les noms scanregw.exe, Winzip.exe, Update.exe, WINZIP_TMP.EXE, SAMPLE.ZIP et New WinZip File.exe, puis il modifie la base de registres afin d'être exécuté à chaque démarrage de l'ordinateur, tente de supprimer ou désactiver certains antivirus et logiciels de sécurité (dont Symantec, Mc Afee, Trend Micro, Kaspersky, avast! et AVG), puis il s'envoie automatiquement aux adresses électroniques figurant dans le carnet d'adresses Windows et divers autres fichiers du disque dur, en utilisant une adresse d'expéditeur usurpée ou falsifiée. Il tente enfin de se propager via les partages réseau sous le nom WINZIP_TMP.EXE. S'il est exécuté le 3ème jour de chaque mois, le virus supprime tous les fichiers comportant une extension .doc, .xls, .mdb, .mde, .ppt, .pps, .zip, .rar, .pdf, .psd et .dmp en remplaçant leur contenu par "DATA Error [47 0F 94 93 F4 K5]".
Vous voila prevenu ! Take care.
