Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

[LONG] Nouveau ver : I-Worm.Swen

31 réponses
Avatar
Nicob
Salut,

je viens de recevoir un nouveau vers (I-Worm.Swen), déjà détecté par
KAV. Il se propage via IRC, Kazaa et les mails. Pour la partie Mails, il
se fait passer pour un mail de Microsoft. Ca a vraiment une bonne gueule,
d'ailleurs.

L'alerte :
http://www.viruslist.com/eng/index.html?tnews=1001&id=88142

La description (sommaire) :
http://www.viruslist.com/eng/viruslist.html?id=88029

D'après ma brève analyse ("strings rulez"):

- il n'est pas compressé

- il détecte les AV/pare-feux suivants (mais je ne sais pas encore ce
qu'il en fait)

zonealarm zapro wfindv32 webtrap vsstat vshwin32 vsecomr vscan vettray
vet98 vet95 vet32 vcontrol vcleaner tds2 sweep sphinx serv95 safeweb
rescue regedit pview pop3trap persfw pcfwallicon pccwin98 pccmain pcciomon
pavw pavsched pavcl padmin outpost nvc95 nupgrade nupdate normist nmain
nisum navw navsched navnt navlu32 navapw32 nai_vs_stat msconfig mpftray
moolive luall lookout lockdown2000 kpfw32 jedi iomon98 iface icsupp
icssuppnt icmoon icmon icloadnt icload95 ibmavsp ibmasn iamserv iamapp
gibe f-stopw fp-win f-prot95 fprot95 f-prot fprot findviru f-agnt95
espwatch esafe efinet32 ecengine dv95 claw95 cfinet cfind cfiaudit
cfiadmin ccshtdwn ccapp bootwarn blackice blackd avwupd32 avwin95
avsched32 avnt avkserv avgw avgctrl avgcc32 ave32 avconsol autodown
apvxdwin aplica32 anti-trojan ackwin32 _avp

- deux chaines "intéressantes" :

Try to pull my legs?
IsDebuggerPresent

- il semble générer des faux "bounces" de qmail

<BR>This is the qmail program<BR>

- il semble jouer avec des "content-type" douteux, de type "midi"

- il contient une URL externe et des commandes POP :

http://ww2.fce.vutbr.cz/bin/counter.gif/link=bacillus&width=6&set=cnt006
DELE %d
TOP %d 30
+OK
STAT
PASS %s
USER %s

- il contient une tétra-chiée d'adresses IP et de nom de domaines, dont
linuxfr


Nicob

10 réponses

1 2 3 4
Avatar
Arnold McDonald \(AMcD\)
Nicob wrote:

D'après ma brève analyse ("strings rulez"):


Heu, que veux-tu dire par cette expression ?

- il contient une tétra-chiée d'adresses IP et de nom de domaines,
dont linuxfr


Ça alors...

--
AMcD

http://arnold.mcdonald.free.fr/

Avatar
Bob
Nicob wrote:
:: Salut,
::
:: je viens de recevoir un nouveau vers (I-Worm.Swen), déjà détecté par
:: KAV. Il se propage via IRC, Kazaa et les mails. Pour la partie
:: Mails, il se fait passer pour un mail de Microsoft. Ca a vraiment
:: une bonne gueule, d'ailleurs.
::
::
:: - il contient une tétra-chiée d'adresses IP et de nom de domaines,
:: dont linuxfr
::
Bonjour.
Je viens d'en recevoir 2 exemplaires et KAV à jour il y a deux heures, m'a
laissé les enregistrer sur le bureau !
Une nouvelle mise à jour de KAV me les trouve maintenant.

--
Salut. Robert.
Rectifiez le nom de mon FAI pour me répondre.
Avatar
Roland Garcia
Salut,

je viens de recevoir un nouveau vers (I-Worm.Swen),


Je suis envahi :-)

déjà détecté par
KAV. Il se propage via IRC, Kazaa et les mails. Pour la partie Mails, il
se fait passer pour un mail de Microsoft. Ca a vraiment une bonne gueule,
d'ailleurs.


Très joli, on voit un bout ici:
http://vil.nai.com/vil/content/v_100662.htm

Roland Garcia

Avatar
Nicob
On Thu, 18 Sep 2003 16:48:54 +0200, Arnold McDonald (AMcD) wrote:

Nicob wrote:

D'après ma brève analyse ("strings rulez"):


Heu, que veux-tu dire par cette expression ?


C'est une commande Unix :

For each file given, GNU strings prints the printable character
sequences that are at least 4 characters long (or the number given with
the options below) and are followed by an unprintable character. By
default, it only prints the strings from the initialized and loaded
sections of object files; for other types of files, it prints the
strings from the whole file.

strings is mainly useful for determining the contents of non-text
files.

Donc cela n'a rien à voir avec mon attirance pour les personnes portant
des strings :)


Nicob


Avatar
Arnold McDonald \(AMcD\)
Nicob wrote:

D'après ma brève analyse ("strings rulez"):


Heu, que veux-tu dire par cette expression ?


C'est une commande Unix :


OK.

Donc cela n'a rien à voir avec mon attirance pour les personnes
portant
des strings :)


Lol. D'ailleurs, si tu veux augmenter tes chances de recherches de documents
dans ce domaine, il vaux mieux utiliser le terme thong... ;o)

--
AMcD - http://arnold.mcdonald.free.fr/

"Je vais enfin pouvoir ôter ce bikini dans lequel j'étouffe" - Les Simpson



Avatar
Bruno Patri

Salut,

je viens de recevoir un nouveau vers (I-Worm.Swen), déjà détecté par
KAV. Il se propage via IRC, Kazaa et les mails. Pour la partie Mails, il
se fait passer pour un mail de Microsoft. Ca a vraiment une bonne gueule,
d'ailleurs.

L'alerte :
http://www.viruslist.com/eng/index.html?tnews01&idˆ142

.../...

Je confirme l'envahissement, je viens d'en recevoir 5 d'un coup. J'ai du
mettre KAV à jour (il est mis à jour quotidienement à 9h00) pour qu'il
les identifie comme worms.

Avatar
Misterjack
Salut !

Nicob a tapoté :
je viens de recevoir un nouveau vers (I-Worm.Swen), déjà détecté par
KAV. Il se propage via IRC, Kazaa et les mails. Pour la partie Mails, il
se fait passer pour un mail de Microsoft. Ca a vraiment une bonne gueule,
d'ailleurs.


C'est vrai qu'il a une bonne gueule.
Une chose étrange : j'ai des adresses mail que j'utilise dans domaines
bien précis. Pour l'instant une seule a reçu plusieurs fois le virus :
celle qui me sert à poster sur fcsv !!!
Rien sur celles que j'utilise dans d'autres forums... y'a des p'tits
malin ici ?

Donc si vous voulez améliorer vos chances de chopper des virus venez sur
fcsv ! (c'est p'têt une coïncidence mais bon...)

@+ MJ

Avatar
Arnold McDonald \(AMcD\)
Misterjack wrote:

Donc si vous voulez améliorer vos chances de chopper des virus venez
sur fcsv ! (c'est p'têt une coïncidence mais bon...)


Tiens, toi aussi tu as noté (voir mon post plus haut) ? ;o)

--
AMcD

http://arnold.mcdonald.free.fr/

Avatar
Actraizer
"Arnold McDonald (AMcD)" a écrit dans le message
de news:3f69ddc5$0$10423$
Misterjack wrote:

Donc si vous voulez améliorer vos chances de chopper des virus venez
sur fcsv ! (c'est p'têt une coïncidence mais bon...)


Tiens, toi aussi tu as noté (voir mon post plus haut) ? ;o)

--
AMcD

http://arnold.mcdonald.free.fr/


Même motif, même punition...
Mais heureusement il est déjà reconnu par mon antivirus comme un nouveau
ver.
Merci d'avoir passé le mot ici avant qu'il arrive, j'aurais sans doute
paniqué sur le moment.

Cordialement,
Actraizer


Avatar
Roland Garcia
Salut !

Nicob a tapoté :

je viens de recevoir un nouveau vers (I-Worm.Swen), déjà détecté par
KAV. Il se propage via IRC, Kazaa et les mails. Pour la partie Mails, il
se fait passer pour un mail de Microsoft. Ca a vraiment une bonne gueule,
d'ailleurs.



C'est vrai qu'il a une bonne gueule.
Une chose étrange : j'ai des adresses mail que j'utilise dans domaines
bien précis. Pour l'instant une seule a reçu plusieurs fois le virus :
celle qui me sert à poster sur fcsv !!!
Rien sur celles que j'utilise dans d'autres forums... y'a des p'tits
malin ici ?

Donc si vous voulez améliorer vos chances de chopper des virus venez sur
fcsv ! (c'est p'têt une coïncidence mais bon...)


Le fait de laisser traîner son adresse ici permet d'être pistonné en cas
de nouveau ver, tout simplement.
Les messages que j'ai reçus provenaient de PC réellement infectés, pas
d'une redirection volontaire.

Roland Garcia


1 2 3 4