[Info] nouvelle vague de spams infectés ... (repost)

(je reposte ce message, car je ne l'ai vu apparaitre que sur le serveur de
news de Free, mais ni sur celui de Microsoft, ni sur celui de Wanadoo. Il y
a du avoir des pb de réplication. Désolé si vous l'avez déjà vu, merci pour
votre compréhension)

Hello World !

Je commence à recevoir de plus en plus fréquemment des emails censés émaner
de "Paypal" (un organisme qui permet de payer facilement sur Internet des
achats tels que des sharewares, mais aussi d'être payé si on est le
"vendeur")

Le message commence ainsi :

"Dear PayPal member,
We regret to inform you that your account is
about to be expired in next five business days.
To avoid suspension of your account you have
to reactivate it by providing us with your personal
information."

Sur le coup, cela ne m'a pas trop surpris, car je me suis souvenu avoir
utilisé Paypal il y a quelques années.
Mais ce qui a réveillé immédiatement ma vigilance, c'est le nom de la PJ !

En effet, ces pseudos petits malins ont joint un fichier nommé :
www.paypal.com.pif

et les "blaireaux" (;+)) qui ont laissé actif le masquage des extensions
connues (çà, c'est une méga-conceté!!!) croient voir un "www.paypal.com",
donc pour eux cela a une allure d'URL , et "i clique, i clique, i clique
....et il est infecté, le c...!"

J'ai examiné cette PJ pseudo URL / pseudo pif : c'est un exécutable tout ce
qu'il y a de plus "PE" (Windows 32 bits), qui contient le virus
W32/Mimail.j@MM (appellation Network Associates)

http://vil.nai.com/vil/content/v_100825.htm
Ce virus a été découvert le 13 novembre (donc assez récent)

Si par malheur le "blaireau" (;+)) exécute la PJ :
- cela infecte son PC, et le virus va se propager par email
- et en plus cela affiche un formulaire à entête de Paypal
(même logo, j'ai vérifié), dans lequel il est demandé :
- le n° de carte de crédit,
Y COMPRIS le PIN (là il faudrait vraiment être c.. pour
le donner!) et le CVV (le nombre à 3 chiffres situé au
dos des cartes de crédit)
- puis dans un autre formulaire l'identité complète
(nom, prénom, adresse, ...)

Ces infos sont stockées dans un fichier c:\PPINFO.SYS, qui est envoyé
ensuite par email à 3 adresses (kaspersky@mail15.com , ekaspersky@mail15.com
, admin@kaspersky.cjb.net)

J'ai examiné ces adresses, elles sont réelles :

Domain Name: MAIL15.COM
Administrative Contact, Technical Contact:
Zaitsev, Igor (35559859P) zaitsev@mail15.com
Profsousnaya str., 84/32, k.602t
Moscow
RU

Registrar: TUCOWS, INC.
Whois Server: whois.opensrs.net
Referral URL: http://www.opensrs.org
Name Server: NS1.CJB.NET
Name Server: NS2.CJB.NET
Status: REGISTRAR-LOCK
(situé au Canada)


Le virus se copie sous le nom de "svchost32.exe" (rigolo, va !!!)
et se lance via la clef :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"SvcHost32" = %WinDir%\svchost32.exe


Ce virus est détecté par Network Associates (McAfee) à partir de la base
antivirus 4304

Symantec (Norton) a fourni un éradicateur (gratuit) de ce virus :
http://www.symantec.com/avcenter/FxMimail.exe


Sous XP (ou ME) ne pas oublier de désactiver la restauration du système
auparavant!

Donc soyez vigilants,
- configurez Windows afin d'afficher TOUJOURS TOUTES les extensions,
- ne cliquez jamais inconsidérément sur une pièce-jointe,
- ayez un Anti-virus A JOUR ,...


--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP] - http://www.bellamyjc.org
Jean-Claude.Bellamy@wanadoo.fr * JC.Bellamy@free.fr