W32.Frethem.E@mm est une varaiante de W32.Frethem.B@mm. Il utilise aussi son propre serveur SMTP pour se proteger. Il s'execute automatiquement en utilisant une faille d'Outlook.

Sujet: Re: Your password!

Message:
ATTENTION!

You can access very important information by this password

DO NOT SAVE password to disk use your mind

now press cancel

Fichier joint:
Decrypt-password.exe
Password.txt

Une fosi executé, le ver affiche une boite de dialogue type alerte (!)

Le ver obtient les mails et adresses smtp depuis les clés de registre:
HKEY_CURRENT_USERSoftwareMicrosoft Internet Account ManagerAccounts0000001SMTP Server

HKEY_CURRENT_USERSoftwareMicrosoft Internet Account ManagerAccounts0000001SMTP Email Address
HKEY_CURRENT_USERSoftwareMicrosoft Internet Account ManagerAccounts0000001SMTP Display Name

Le ver ensuite recupere les adresses mail depuis le carnet d'adresse d'outlook et les fichiers .dbx ( interne à outlook).

A noter que ce ver utlise 2 fichiers joints:
Decrypt-password.exe qui est une copie du ver, et un second, Password.txt qui est un fichier texte mais n'est pas viral. Il n'est donc pas détecté par la plus part des antivirus.

A noter aussi que le systeme utilisé pour le lancement du virus ne passe pas par l'habituel registre, mais par:
C:WindowsAll UsersStart MenuProgramsStartupSetup.exe. ( en français, menu démarrer--démarrage )

Le ver peut etre executé automatiquement . Dans ce cas, le ver utilise les exploits iframe et mime pour éxécuter les fichiers joints dès l'ouverture de l'email ou son affichage dans le volet de prévisualisation

Pour se désinfecter:
Mettre à jour son antivirus
Sacnner son ordinnateur.
Supprimer tous les fichiers détectés en tant que W32.Frethem.E@mm
Supprimer manuellement le fichier Password.txt.

Virus Xabot

Xabot est un ver qui essaye de se propager par Irc et peer-to-peer. Il possede aussi des fonctionnalités indetiques à un trojan, permettant de prendre controle d'un pc infecté à distance. L'existence du dossier wininit32.exe est une indication d'une infection possible.
Suite...

---

Virus Hobble.F (alias Alcatap )

Hobble.F est une variante du ver de Hobble. Il essaye de se propager à travers le réseau de partage de KaZaA. Il s'envoie également aux adresses d'email qu'il recherche à partir des dossiers htm et html qu'il trouve dans le cache d'Internet Explorer, et à toutes les adresses dans le carnet d'adresses de Microsoft Outlook.
Suite...

---

Virus SQLExp SQL Slammer responsable du ralentissement

Ce ver est le responsable du ralentissement actuel d'internet. Il rappelle Code red et semble aussi virulent que ce dernier. Il est indetecté par les anti virus type scanner car il exsite uniquement en memoire. Le ver envoie 376 bits au port 1434 udp - le port de service de résolution de serveur de SQL.
Suite...

---

Virus Lirva alias Avril.A Lirva.b Lirva.a Avron.c

Lirva est un ver qui se propage par egalement IRC, ICQ, KaZaA et le réseau. Ce ver essaye de terminer les processus d'antivirus et de firewall. Il envoit par email les mots de passe cachés de gestion de connection de Windows 95/98/Me à l'auteur de virus.
Suite...

---

Virus Cult.B alias Lanet

Cult.B est un ver qui utilise son propre moteur de smtp pour se propager. Les destinataires de l'email sont construits aléatoirement d'une liste de nom et d'un domaine choisi. Cult.B essaye également de se propager en utilisant le réseau de partage de KaZaA. De plus, le ver permet une prise de controle à distance du PC infecté.
Suite...

---