Se connecter / S'enregistrer
Votre question

[Alerte] Nyxem-D aka Blackmal-E ou Kama Sutra

Tags :
  • Aka
  • Sécurité
Dernière réponse : dans Sécurité et virus
3 Février 2006 15:35:34

Salut à tous,

Je vous communique l'info de chez secuser.com :

Blackmal.E est un virus qui se propage par courrier électronique et via les partages réseau. Il se présente sous la forme d'un message dont le titre et le corps sont aléatoires, accompagné d'un fichier joint dont l'extension est variable (95 à 135 Ko), en tentant de se faire passer pour une image ou un document à voir. Si ce fichier est exécuté, le virus tente de supprimer ou désactiver certains antivirus et logiciels de sécurité, puis il s'envoie en masse à des adresses récoltées sur le disque dur. Le 3 de chaque mois, il efface certains fichiers.

DESCRIPTION DETAILLEE :

Le virus Blackmal.E se présente sous la forme d'un message dont le titre, le corps et le nom du fichier joint sont aléatoires Les titres de message :

*Hot Movie*
A Great Video
Arab sex DSC-00465.jpg
eBook.pdf
Fw:
Fw: DSC-00465.jpg
Fw: Funny :) 
Fw: Picturs
Fw: Real show
Fw: SeX.mpg
Fw: Sexy
Fwd: Crazy illegal Sex!
Fwd: image.jpg
Fwd: Photo
give me a kiss
Miss Lebanon 2006
My photos
Part 1 of 6 Video clipe
Photos
Re:
School girl fantasies gone bad
Word file

Le corps du message est un court texte en anglais destiné à inciter l'internaute à ouvrir le fichier joint :

Note: forwarded message attached.
You Must View This Videoclip!
>> forwarded message
Re: Sex Video
i just any one see my photos.
It's Free :) 
The Best Videoclip Ever
Hot XXX Yahoo Groups
####in Kama Sutra pics
ready to be ####ED ;) 
forwarded message attached.
VIDEOS! FREE! (US$ 0,00)
What?
i send the file.
Helloi attached the details.
Thank you
the file i send the details
hello,
Please see the file.
how are you?
i send the details.

La pièce jointe est généralement un fichier exécutable possédant un nom aléatoire et une extension variable (de 95 à 135 Ko), tentant de se faire passer pour une image ou un document attrayant :

007.pif
392315089702606E-02,.scR
677.pif
Adults_9,zip.sCR
ATT01.zip.sCR
Attachments[001],B64.sCr
Clipe,zip.sCr
document.pif
DSC-00465.Pif
DSC-00465.pIf
eBook.PIF
image04.pif
New Video,zip
New_Document_file.pif
photo.pif
Photos,zip.sCR
School.pif
SeX,zip.scR
WinZip,zip.scR
WinZip.BHX
WinZip.zip.sCR
Word XP.zip.sCR
Word.zip.sCR
04.pif
DSC-00465.Pif
DSC-00465.pIf
image04.pif

Elle peut également être un fichier MIME contenant un fichier exécutable :

3.92315089702606E02.UUE
Attachments[001].B64
Attachments00.HQX
Attachments001.BHX
eBook.Uu
Original Message.B64
Sex.mim
SeX.mim
Video_part.mim
WinZip.BHX
Word_Document.hqx
Word_Document.uu

Si ce fichier est exécuté, le virus se copie dans le répertoire Windows sous le nom Rundll16.exe et dans le répertoire System sous les noms scanregw.exe, Winzip.exe, Update.exe, WINZIP_TMP.EXE, SAMPLE.ZIP et New WinZip File.exe, puis il modifie la base de registres afin d'être exécuté à chaque démarrage de l'ordinateur, tente de supprimer ou désactiver certains antivirus et logiciels de sécurité (dont Symantec, Mc Afee, Trend Micro, Kaspersky, avast! et AVG), puis il s'envoie automatiquement aux adresses électroniques figurant dans le carnet d'adresses Windows et divers autres fichiers du disque dur, en utilisant une adresse d'expéditeur usurpée ou falsifiée. Il tente enfin de se propager via les partages réseau sous le nom WINZIP_TMP.EXE. S'il est exécuté le 3ème jour de chaque mois, le virus supprime tous les fichiers comportant une extension .doc, .xls, .mdb, .mde, .ppt, .pps, .zip, .rar, .pdf, .psd et .dmp en remplaçant leur contenu par "DATA Error [47 0F 94 93 F4 K5]".

Vous voila prevenu ! Take care.

Autres pages sur : alerte nyxem aka blackmal kama sutra

5 Mai 2006 08:28:01

Bon jour,

le 3 mai mes antivirus ( j'en ai deux: le norton 2005 et le Bit defender, tous les deux mis à jour) ont detecté le W32.blackmal.E@mm alors j'ai fait ma petite recherche, j'ai trouvé la même info + un outil pour eliminer ce virus, le FixBmalE.exe. (http://securityresponse.symantec.com/avcenter/venc/data...)

J'ai fait le scanning avec les deux antivirus, chacun a trouvé des fichiers qui ensuite ont été effacés, j'ai fait le scanning avec l'outil (FixBmalE.exe ), pareil, il a trouvé et effacé des fichiers contaminés, mais a chaque fois les alertes (pop-up) du Norton recommencent chaque segunde en disant qu'il a bloqué le virus.

J'ai déjà testé le spybot: il n'a rien donné, le a-square (a²): il a bien fini sur mode sans échec (il a rien trouvé) mais en normal il bloque.

je suis déconecté de l'internet, je repete les scan des antivirus et autres , mais le virus est toujours là. j'ai essayé de changer manuellement les registres (http://www.symantec.com/region/fr/techsupp/avcenter/ven...) mais soit ils n'existent pas soit ça ne change rien.

Maintenant j'ai aucune idée, et dans l'internet je ne trouve pas une réponse vraiement effective. Comment je peux faire pour supprimer à vie ce virus "W32.Blackmal.E@mm".....? SVP besoin d'aide!!!!
6 Mai 2006 21:13:03

JAI REUSSI A M'EN DEBARASSER!!!
ça n'a pas été facile, car le W32.Nyxem ou W32.Blackmal est très intelligent et apprend très vite à côntroler les anti-virus.
Si cela vous arrive, ma méthode à été de essayer de lo coincer avec un coctel de programmes antivirus. Le Norton et le McAfee vous ne servent à rien dans ce cas. Alors:
Téléchargez, si vous le pouvez, les logiciels suivants, et connectez-vous en mode sans échec avec réseau.
Naturellement, supprimez la restauration automatique du système avant de faire quoi que ce soit. Puis, essayez avec ces logiciels anti-virus et adaware:
A-Squared Start Center.
Spybot
Anti-Nyxem
et le Norton et Bitdefender EN LIGNE (il endommage très vite celui de votre ordi).

Passez-les en boucle, en mode sans échec, et nettoyez les archives TEMP et Quarantine de votre Norton (il s'y met dedans et fou le bordel).

Bon Chance et méfiez vous car c'est un virus très puissant, dernière génération et intelligent!
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS