Virus Bagle + Virus Novarg

[iubito]

ouais les warnings du genre : "vous avez envoyé le message suivant blabla mais notre anti-virus a détecté machintrucdemerde donc le message n'est pas arrivé à son correspondant."
Inutile parce que dans la plupart des cas l'expéditeur est fictif ou le virus c'est servi dans la liste des mails en faisant passer les uns pour les autres !

[Beaumont]

Il serait temps que les serveurs de messagerie s'adaptent un peu.

tu parles pour les warning là ?

Oui (comme l'explique iubito), mais il faudrait aussi qu'ils arrêtent de renvoyer les fichiers attachés en cas de non délivraison d'un email. Prévenir de la non délivraison OK, ça ça reste utile, mais renvoyer le fichier avec ça ne fait que propager davantage de virus. Mais bon déjà ce serait un soulagement si les messages du type "vous avez envoyé un virus à machin" pouvaient enfin cesser.

[Latinus]

Le problème du mail, c'est que beaucoup de normes (règles) ont été définies mais que seuls quelques uns les respectent dans leur totalité. Bien souvent les administrateurs ne respectent que celles qui les arrangent.
J'avoue que c'est "lassant" de recevoir autant de warning... surtout que je reçois une alerte même si le mail est destiné à un autre utilisateur lokanova (admin oblige). (mais bon, une petite règle, et zou, classé et lue plus tard).
Ca pourrait être pas mal comme solution d'envoyer un message warning "récapitulatif" (1 fois par heure, ou par 2 heures, ou ... ), non?

[Beaumont]

Ca pourrait être pas mal comme solution d'envoyer un message warning "récapitulatif" (1 fois par heure, ou par 2 heures, ou ... ), non?

Je ne vois toujours pas l'intérêt de prévenir quelqu'un qu'il a envoyé un virus alors qu'il n'est pas l'expéditeur du mail en question. A la limite, si le message était adapté, du type "les virus fonctionnent comme ci, comme ça, et un message est parti chez machin en faisant croire qu'il vient de vous...", OK (et encore, je ne vois pas trop l'intérêt si on compare aux inconvénients, qui sont exactement les mêmes que ceux créés par les virus eux-mêmes, c'est-à-dire consommation de bande passante et vent de panique chez les utilisateurs non avertis). Mais recevoir un message qui te dit de manière péremptoire : "Vous avez envoyé un virus à machin, mettez votre anti-virus à jour", là c'est n'importe quoi.

[Latinus]

A propos de Novarg (ou MyDoom), le domaine lokanova.com semble être la cible de ptits débiles cet après-midi. Plus de 350 messages infectés à destination d'utilisateurs existants ou inexistants entre 10h50 et 13h00.

L'antivirus du serveur de mail détecte et supprime ce virus depuis le 26 à minuit.


Voici un message du CERT-RENATER, qui explique la bêbête:

Message du CERT-Renater

======================================================================

W32/Mydoom@MM
-----------


Autres noms rencontres : Mimail.R, Novarg.A, Shimg, W32.Novarg.A@mm,
W32/MyDoom-A


Ce ver/virus Internet se propage par le biais de la messagerie
electronique et le reseau "peer to peer" Kazaa. Il cible les
systemes Windows 95, 98, ME, NT, 2000 et XP.

Il se cache dans la piece jointe d'un message presentant les
caracteristiques suivantes:

Expediteur: adresse usurpee/fabriquee

Sujet: error
hello
hi
mail delivery system
mail transaction failed
server report
status
test
[caracteres aleatoires]

Corps du message: texte variable.
Entre autres on a pu observer:
"test"

"The message cannot be represented in 7-bit ASCII
encoding and has been sent as a binary attachment."

"The message contains Unicode characters and has been
sent as a binary attachment."

"Mail transaction failed. Partial message is available."

Noms possible pour la piece jointe:
body
data
doc
document
file
message
readme
test
[caracteres aleatoires]
Avec l'extension:
.zip
.bat
.cmd
.exe
.pif
.scr

taille du fichier: 22528 octets


Entre autres actions, il semble qu'une fois active, le ver

- place une copie de lui meme (taskmon.exe) dans le repertoire
systeme de Windows,
- modifie la cle de registre:
* HKLM\Software\Microsoft\Windows\CurrentVersion\Run
"TaskMon" = %sysdir%\taskmon.exe
pour permettre que Taskmon.exe soit execute a chaque
redemarrage,
- cree le mutex "SwebSipcSmtxSO" pour eviter les reinfections
successives,
- recolte des adresses de correspondants dans un certain nombre
de fichiers trouves sur le disque contamine. Il se sert de ces
adresses pour forger les champs expediteur et destinataire des
courriers electroniques qu'il envoie dans son processus de
propagation,
- depose sur le disque le fichier %sysdir%\shimgapi.dll qui
semble etre une backdoor en ecoute sur le port 3127/tcp et
permettant donc un acces distant et discret au systeme
contamine. Un attaquant peut donc ainsi controller a distance
le systeme infecte a l'insu de l'utilisateur du poste. Certains
editeurs indiquent que la backdoor ouvre en fait les ports
allant de 3127/tcp a 3198/tcp. shimgapi.dll est de plus charge
par EXPLORER.EXE grace a la cle:
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
"(Default)" = %System%\shimgapi.dll ,
- programme pour lancer une attaque en deni de service sur le
serveur web du groupe SCO a partir du 1er Fevrier 2004,
- recherche dans la base de registre la valeur indiquant les
repertoires partages des utilisateurs de Kazaa et depose dans
ces repertoires des copies de lui meme avec les noms:
winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004
avec des extensions de fichier choisies dans:
.bat
.exe
.scr
.pif


Il semble que ce ver se propage tres tres rapidement en ce moment
dans certaines communautes. La plupart des editeurs d'antivirus ont
mis a jour leurs signatures virales le 26/01/2004.

Pour de plus amples details, notamment des descriptions techniques
des modifications apportees au systeme, consulter:

http://isc.incidents.org/diary.html?date=2004-01-26

http://securityresponse.symantec.com/av ... .a@mm.html
http://www.trendmicro.com/vinfo/virusen ... M_MIMAIL.R
http://www.f-secure.com/v-descs/novarg.shtml
http://vil.nai.com/vil/content/v_100983.htm
http://www.sophos.com/virusinfo/analyse ... dooma.html
http://www3.ca.com/virusinfo/virus.aspx?ID=38102

Le second lien donne des indications sur les mesures a
suivre pour la desinfection de systemes contamines dans
la rubrique "removal instructions".

[Latinus]

aujourd'hui au boulot :

- Bonjour, j'ai cliqué sur un mail appelé "hi"
- réponse : aie !

[Latinus]

(je me suis permis d'éditer le titre, Beaumont)

[arkayn]

En ce moment, je reçois une dizaine de Mail delivery : Votre mail... bla bla bla... dont un pour un virus encore inconnu Worm SCO.A.
Il y avait une acalmie ces dernières semaines mais là c'est virus sur virus.
Sans parler de ceux qui te prévienne que Microsoft leur en envoyé un avertissement contre le virus le plus destructeur...

C'est vrai que ça lasse au bout d'un moment.

[iubito]

A propos de virus, y'en a pas un à Bangkok?

[kokoyaya]

A propos de virus, y'en a pas un à Bangkok?

Oui, les poulets équipés d'ordinateurs ont vraiment du soucis à se faire en ce moment !

[Latinus]

C'est pas très drôle... d'autant plus que si ce fameux virus entre en contact avec la grippe humaine, c'est risque de pandémie très important!

[arkayn]

Il faudrait aussi qu'ils arrêtent de renvoyer les fichiers attachés en cas de non délivraison d'un email.

En fait, malgré toutes nos connaissances, on reste des bleus en matière de piratage et d'attaques virales.

Je viens de comprendre aujourd'hui que ce que l'on reçoit (non livraison d'un mail avec le virus en PJ) ne provient pas des serveurs, webmasters et autres.
Il s'agit purement et simplement d'une usurpation d'identité. Si on peut se faire passer pour Latinus, Beaumont ou trucmuche, pourquoi pas Daemon-Mailer ou Mail Delivery System, Mail Transaction Failed, Server Report...

Plus de précisions sur la page de http://www.secuser.com/alertes/2004/novarg.htm ainsi que des utilitaires de décontamination (de chez Symantec), jusque pour une variante de Mydoom, MydoomB, décourverte le 28/01.

Beaucoup d'utilitaires de décontamination sur le site de Secuser.