Par
malekalmorte
12 novembre 2010
-

Supprimer summer2008.zip/IRC-Worm.Win32.Agent.a


IRC-Worm.Win32.Agent.a est un vers qui se propage par MSN

Ce ver est une variante de : Backdoor.Win32.IRCBot.aaq/W32.Mubla/Backdoor.Win32.IRCBot.aaq (Juin 2007)
Cette infection tire partie du social engineering, faites donc attention à ce que vous téléchargez !!

Les messages de transmissions :
En Français:
Jessica alba ciplak !!
Regarde comment Paris Hilton parait efondr?apr qu’elle ai ?jeter en prison :(
Toi et moi !!! …. regarde :p 
Regarde mes photos :p 
Hey s’il te plait accepte mes photos :o !! 
Une photo de moi et mon meilleur ami :$ !! 
C’est moi totalement nu :o
s’il te plait ne l’envoie a personne d’autre Regarde ce que j’ai trouv?sur le net :o

En Anglais:
Look how wasted Paris Hilton is, after she got jailed :(    
You and Me !!! …. look :p
Look at my photos hihi :p 
Hey please accept my photos :o !! 
A photo with me and my best friend :$ !!   
This is me totaly naked :o please dont send to anyone else 
Look what i found on the NET :o
Jessica Alba NUDE !! 


En Chinois :
kAN BA LI XI ER DUN JIN JIANYU HOU SHI DUO ME QIAOCUI :(    
NI HE WO !!! …. QING KAN :p 
KAN WO DE ZHAOPIAN :p 
JIESHOU WO DE ZHAO PIAN :o !! 
YI ZHANG WO GEN WO PENGYOU ZUI HAO DE ZHAOPIAN :$ !!   
KAN WO DE ZHAOPIAN :p 
ZHE SHI WO DE LUOZHAO :o QING BU YAO FA GEI BIEREN !!


Autres langues :
Jessica Alba NU !!
bak sana Paris Hilton ne hale gelmis hapiste :(    
Sen ve Ben !!! …. BAK :p 
Baksana benim fotograflara hihi :p 
Hey benim fotolarimi kabul et :o !!
Iyi arkadasimla fotorafdayim :$ !! 
benim bu ciplak fotoda :o
ama baskasina yollama bak ne buldum :o
Kijk hoe erg Paris Hilton er aan toe is na gevangenschap :(
Jij en Ik !!!! …. kijk :p
Kijk eens naar mijn fotos hihi :p 
HEY !! accepteer mn fotos dan ! met mijn beste vriend op de foto !! :$ 
Dit ben ik naakt op de foto, stuur alsjeblieft niet door. 
Kijk wat ik gevonden heb :o Jessica Alba naakt !! 
guck wie scheisse Paris Hilton aussieht, seitdem sie wieder aus dem knast ist :(    
du und ich !!! ….guck :p 
siehe meine fotos hihi :p 
hey bitte nimm meine fotos an :o !!
ein foto mit meinem besten freund und mir :$ !!
das bin ich total nackt :o bitte sende es niemand anderem 
guck was ich im internet gefunden habe :o
jessica Alba NACKT !! Guarda come Paris Hilton sprecato ? dopo che era imprijonata :(    
Tu ed io !!! …. guarda :p
Guardi le mie foto hihi :p 
Mairee photos accept karo :o !!
Una foto con me ed il mio amico migliore :$ !! 
Questa e me totaly nudo :o prego non trasmette a chiunque 
Osservi che cosa ho trovato sul internet :o Jessica alba NUDA !!   
Veja como Paris Hilton est?acabada depois de ter sido presa :(
Voc?e eu !!!! …. Veja :p
Veja as minhas fotos hehehe :p 
Por favor aceite as minhas fotos :o !! 
Uma foto com o meu melhor amigo e eu :$ !! 
Esta sou eu totalmente nua :o
por favor nmande isso pra ningu 
Olha o que eu achei na NET :o Jessica Alba NUA !!

Kolla hur fstd Paris Hilton, efter att hon fgslades :(
Du och jag !! …. Kolla ;)
Kolla p?min bilder, hihi :p   
Hey, acceptera mina bilder, snla :o  
En bild p?mig och min bta v :$ !!!
Detta jag HELT naken.. :o Skicka inte till non annan, snla…   
Kolla vad jag hittade p?net :o
Jessica Alba NAKEN !! Mira co Paris Hilton es perdida despu de ser encarcelada :(
Usted e yo !!! …. Mira :p Mira mis fotos jejeje :p   
Ha aceptado mis fotos por favor :o !! 
Una foto con mi mejor amigo e yo :$ !! 
Esta soy yo totalmente desnuda :o
por favor no env para nadie Mira lo que encontr?en la WEB :o
Jessica Alba DESNUDA !! 
Lede hvor spild Paris Hilton er efter hun fik fgsel :(    
Jer og Mig !!! … se :p   
Se p?min fotos :p 
Hej behage optage min foto :o !!   
EN foto hos mig og min bedst ven :$ !! 
denne er mig hele bar behage vage vendlig og sende den ikk til nogle :o
Lede hvad jeg fandt oven p?den net :o
Jessica Alba bar !!

Détection summer2008.zip/IRC-Worm.Win32.Agent.a

L’infection créé des fichiers zip avec des noms aléatoires, ces fichiers sont envoyés aux contacts avec les différents messages.
Si le contact ouvre et execute le fichier à l’intérieur il est infecté à son tour.

Les noms des fichiers aléatoires sont composés des mots album/photos/images ou pictures suivi de deux chiffres aléatoires.
Exemple :

  • C:WINDOWSalbum39.zip
  • C:WINDOWSalbum84.zip
  • C:WINDOWSimages091.zip
  • C:WINDOWSphoto80.zip
  • C:WINDOWSphotos030.zip
  • C:WINDOWSphotos072.zip
  • C:WINDOWSpicture56.zip
  • C:WINDOWSpicture8.zip
  • C:WINDOWSpictures030.zip
  • C:WINDOWSpictures054.zip
  • etc..

Une fois infectée, l’infection ajoute la ligne suivante sur HijackThis :

  • O21 – SSODL: printers – {B8A36B07-4FD4-41D8-BF28-806E1716790B} – notiffy.dll

Les utilisateurs Avast! ne sont pas protégés.

J’ai mis les scan quotidiens pour démontrer la lenteur d’Avast! sur ce lien : http://forum.zebulon.fr/index.php?showtopic=123168

En conséquence, voici pourquoi je recommande plutôt Antivir qu’Avast!, voir les deux sujets :

Scan au 22 Juillet :
File photo80.scr received on 07.22.2007 18:01:05 (CET)
   
Antivirus     Version     Last Update     Result
AhnLab-V3    2007.7.21.0    2007.07.20    no virus found
AntiVir    7.4.0.44    2007.07.21    TR/Crypt.XPACK.Gen
Authentium    4.93.8    2007.07.20    no virus found
Avast    4.7.997.0    2007.07.22    no virus found
AVG    7.5.0.476    2007.07.21    no virus found
BitDefender    7.2    2007.07.22    Trojan.IRC.Agent.B
CAT-QuickHeal    9.00    2007.07.20    (Suspicious) – DNAScan
ClamAV    devel-20070416    2007.07.22    no virus found
DrWeb    4.33    2007.07.22    no virus found
eSafe    7.0.15.0    2007.07.19    Suspicious Trojan/Worm
eTrust-Vet    30.8.3797    2007.07.20    no virus found
Ewido    4.0    2007.07.22    no virus found
FileAdvisor    1    2007.07.22    no virus found
Fortinet    2.91.0.0    2007.07.22    IRC/Agent.A!worm
F-Prot    4.3.2.48    2007.07.20    no virus found
F-Secure    6.70.13030.0    2007.07.22    IRC-Worm.Win32.Agent.a
Ikarus    T3.1.1.8    2007.07.22    Backdoor.Win32.Rbot
Kaspersky    4.0.2.24    2007.07.22    IRC-Worm.Win32.Agent.a
McAfee    5079    2007.07.20    no virus found
Microsoft    1.2704    2007.07.22    no virus found
NOD32v2    2411    2007.07.21    probably unknown NewHeur_PE virus
Norman    5.80.02    2007.07.20    no virus found
Panda    9.0.0.4    2007.07.22    Suspicious file
Sophos    4.19.0    2007.07.17    no virus found
Sunbelt    2.2.907.0    2007.07.21    no virus found
Symantec    10    2007.07.22    no virus found
TheHacker    6.1.7.151    2007.07.22    no virus found
VBA32    3.12.2.1    2007.07.21    no virus found
VirusBuster    4.3.26:9    2007.07.21    no virus found
Webwasher-Gateway    6.0.1    2007.07.22    Trojan.Crypt.XPACK.Gen
Additional information
File size: 120832 bytes
MD5: e1d1e9e2b1882f2c99c6a131341dea21
SHA1: b5ba7987c7d5e15ff26be5436e674b3fac066ca8
packers: NTKrnl

Suppression summer2008.zip/IRC-Worm.Win32.Agent.a


Attention pour le nouveau ver avec photo8.com ( et pas photos.zip) voir ce lien : Supprimer Trojan-Downloader.Win32.Agent.bt
Lisez bien la description de l’infection pour voir si elle correspond bien à la votre.

  • Téléchargez MSNFix.zip (de !aur3n7) sur votre bureau:
    http://sosvirus.changelog.fr/MSNFix.zip
  • Décompressez-le (clic droit >> Extraire ici) et double cliquer sur le fichier MSNFix.bat.
    • Exécutez l’option R.
    • Si l’infection est détectée, un message l’indiquera et il suffira de presser une touche pour lancer le nettoyage
      • Note :
        Si une erreur de suppression est détectée un message s’affichera demandant de redémarrer l’ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l’ordinateur en mode normal
  • Téléchargez et installez Malwarebyte’s Anti-Malware anti-malware recommandé
  • Télécharger clean.zip, décompressez-le sur votre bureau (clic droit / extraire tout), vous obtenez alors un dossier clean
  • Démarrez Windows en mode sans échec : Guide pour redémarrer en mode sans échec
  • Ouvrez le dossier clean qui se trouve sur ton bureau, et double-cliquez sur clean.cmd, une fenêtre noire va apparaître , choisissez l’option 2 et laissez l’operation de nettoyage s’effectuer
  • Afin de supprimer toutes traces du spyware et d’autres élements qu’il aurait pu installer, scannez votre ordinateur avec :
  • Redémarrez l’ordinateur
  • Je vous conseil aussi de scanner votre ordinateur avec un antivirus à jour, si vous êtes infecté, il y a des chances que vous n’en aillez pas, utilisez alors un antivirus en ligne : 
  • Nettoyez votre base de registre à l’aide de l’utilitaire regcleaner
  • Nettoyez les fichiers temporaires/caches etc.. avec CCleaner
  • Si vous rencontrez toujours des problèmes, générez un log à l’aide HijackThismode d’emploi et venez le poster sur le forum du site

Redémarrez votre ordinateur en mode normal, si le spyware est encore là, rescannez votre ordinateur avec SpyBot et Ad-Aware.

Consulter le forum malware-complaints et créez votre message selon votre type d’infection, plus vous serez nombreux, plus nous aurons de poids pour faire réagir les autorités face aux malwares !

Cela prend 5 minutes!

Autres Liens

Pour plus d’informations, sur le fonctionnement des spywares et les conseils à suivre :
Fonctionnement et suppression des Vers/Spywares/Malwares sous Windows
Guide de suppression des malwares (SpySherrif, Spyaxe, SpywareStrike, Winbound, etc..)