Depuis quelques temps, on a un petit virus/ver qui se promène sur les contacts MSN, il revient assez régulièrement.
Il s'agit d'un lien vers un fichier image qu'un contact vous envoie et en fait, c est un fichier exécutable pour votre ordi.

J"ai récupéré le fichier (hier soir, on me l'a envoyé ) sur mon ordi et je l'ai analysé. Voici les infos

noms du fichier: pic7020 ( raccourci MSDOS) - peut surement changer
taille:136 Ko (139 264 octets)

et les conclusions des analyses:

Citation :

a-squared 4.5.0.43 2009.12.11 Worm.P2P.Palevo!IK
AhnLab-V3 5.0.0.2 2009.12.10 -
AntiVir 7.9.1.108 2009.12.10 -
Antiy-AVL 2.0.3.7 2009.12.10 -
Authentium 5.2.0.5 2009.12.02 -
Avast 4.8.1351.0 2009.12.10 Win32:Palevo-R
AVG 8.5.0.426 2009.12.10 -
BitDefender 7.2 2009.12.11 Worm.P2P.Palevo.B
CAT-QuickHeal 10.00 2009.12.10 -
ClamAV 0.94.1 2009.12.11 -
Comodo 3103 2009.12.01 -
DrWeb 5.0.0.12182 2009.12.11 -
eSafe 7.0.17.0 2009.12.10 -
eTrust-Vet 35.1.7169 2009.12.10 -
F-Prot 4.5.1.85 2009.12.10 -
F-Secure 9.0.15370.0 2009.12.10 Worm.P2P.Palevo.B
Fortinet 4.0.14.0 2009.12.11 -
GData 19 2009.12.10 Worm.P2P.Palevo.B
Ikarus T3.1.1.74.0 2009.12.10 Worm.P2P.Palevo
Jiangmin 13.0.900 2009.12.10 -
K7AntiVirus 7.10.917 2009.12.10 -
Kaspersky 7.0.0.125 2009.12.11 -
McAfee 5828 2009.12.10 -
McAfee+Artemis 5828 2009.12.10 -
McAfee-GW-Edition 6.8.5 2009.12.11 -
Microsoft 1.5302 2009.12.10 -
NOD32 4677 2009.12.10 a variant of Win32/Injector.AIF
Norman 6.04.03 2009.12.10 -
nProtect 2009.1.8.0 2009.12.10 -
Panda 10.0.2.2 2009.12.10 -
PCTools 7.0.3.5 2009.12.11 -
Prevx 3.0 2009.12.11 -
Rising 22.25.03.09 2009.12.10 -
Sophos 4.48.0 2009.12.11 W32/Palev-Gen
Sunbelt 3.2.1858.2 2009.12.10 -
Symantec 1.4.4.12 2009.12.11 -
TheHacker 6.5.0.2.090 2009.12.10 -
TrendMicro 9.100.0.1001 2009.12.11 -
VBA32 3.12.12.0 2009.12.10 -
ViRobot 2009.12.10.2081 2009.12.10 -
VirusBuster 5.0.21.0 2009.12.10 Worm.Palevo.Gen!Pac.4

Donc c'est pas un fichier inofensif, ceux qui l'ont exécuté ont récupéré un beau petit ver et voici le descriptif:

Citation :

Détecté pour la première fois fin juin, Worm.P2P.Palevo.B est une e-menace extrêmement agressive ciblant essentiellement les utilisateurs de services peer-to-peer.

L’un des premiers signes de l’infection est une activité réseau plus importante sur les ports UDP provenant d’explorer.exe et la présence d’un fichier caché nommé sysdate.exe à l’intérieur du dossier « %systemdrive%\RECYCLER\S-1-5-21-[chiffres aléatoires] ».

Le ver a été "chèvre"çu afin de se diffuser de diverses manières. Il peut ajouter son code à la liste des partages P2P d’applications de partages de fichiers connues telles qu’Ares, BearShare, iMesh, Shareza, Kazaa, DC++, eMule et LimeWire mais il peut également infecter tout support amovible USB connecté à une machine déjà infectée ou même, des disques réseau connectés en local.

Worm.P2P.Palevo.B peut aussi envoyer des liens vers des sites Web infectés s’il détecte la présence de MSN Messenger sur le système compromis, et fait ainsi installer le ver à distance aux contacts inavertis.

Le ver ne limite pas ses actions destructrices à infecter d’autres hôtes et à laisser à l’utilisateur un système à peine utilisable en raison de son activité accrue. Il peut également intercepter des mots de passe et d’autres données sensibles saisies dans les navigateurs Web Mozilla Firefox et Microsoft Internet Explorer, ce qui le rend extrêmement dangereux pour les utilisateurs de services bancaires en ligne ou les personnes effectuant des achats sur Internet.

Worm.P2P.Palevo.B présente un composant backdoor qui permet aux attaquants de contrôler à distance de la machine infectée et de la manipuler en fonction de leurs propres besoins (par exemple, pour installer des logiciels, pour exporter des documents enregistrés en local, pour falsifier des votes en ligne à partir de plusieurs IP, ou même, pour lancer des attaques de type TCP/UDP flood contre des serveurs Internet).

Afin de profiter d’Internet en toute sécurité, BitDefender vous recommande d’installer et de mettre à jour régulièrement une suite antimalware avec des modules antivirus, antispam, antiphishing et un pare-feu.


source: http://www.malwarecity.fr/blog/wormp2ppalevob-a-laffut-dans-votre-corbeille-revue-hebdomadaire-sur-les-malwares-542.html

Bref, c est du HRP/IRL et je vous laisse donc gérer ça. Mais de ce que je comprends, seul les antivirus que j'ai mis en GRAS dans la liste le détectent.

Edit: Erreur dans le lien de la souce corrigée.

Pour information, si vous recevez un courrier IG vous indiquant que pour soutenir telle ou telle ville contre les fermetures vous pouvez vous cliquer sur tel lien, n'allez pas au lien indiqué, il a pour effet de vous faire déménager (avec perte d'échoppes, champs, inventaire de propriété, etc).

Vous pouvez avoir plus d'infos ici : http://forum.lesroyaumes.com/viewtopic.php?t=1614145&postdays=0&postorder=asc&start=0

Pour ceux qui se seraient déjà fait avoir il faut écrire à la FAQ. Titre clair et explication courte, Levan demandant de faire passer le message, j'le fais donc ^^

Il y a une vague de piratage de compte msn qui touche les joueurs des RRs.

Sources:

- http://forum.lesroyaumes.com/viewtopic.php?t=1752970&start=0 ( fofo1 - sur le JNCP )

- http://www.blog-note.com/msn-peux-tu-mettre-une-annonce-pour-moi-sur-le-bon-coin-arnaque/

Il semblerait que ça soit à la mode parmi les joueurs des RRs et plusieurs se sont fait prendre.
On vient d'essayer de me le faire à partir d'un compte MSN en se faisant passer pour une joueuse qui vient sur ce forum.
Je me suis fait contacté par une 'Catalina de Volpilhat!', ensuite j'ai eu droit au baratin classique comme expliqué dans les liens au dessus.
Prudence, prudence.

L'adresse de grenat-rr@live.fr a été piratée... faire attention!!!

Ce n'est pas pour parler piratage msn mais je profite du sujet pour vous dire de faire attention aux mp IG qu'on vous envoies. Je viens d'avoir la joie d'en ouvrir un dans lequel il y avait un lien caché, si vous avez le malheur de vouloir copier le texte pour en garder une copie ça vous ouvre direct une page IG que vous n'avez pas demandé.