Virus Restarter.F – "Ta tof est sur ce site !"
Bienvenue sur cet article,
Je vais vous parler du nouveau virus sortit qui se propage sur MSN, le Restarter.F, un virus très dangereux qui détruit l’ordinateur au fur et à mesure. Il est reconnu sous plusieurs formes par différents anti-virus :
- TR/Crypt.XPACK.Gen (Antivir)
- Trojan.IRCBot-1698 (ClamAV)
- W32/Smalltroj.CXEI (F-Secure)
- Trojan.Win32.Restarter.f (Kaspersky)
- Win32/IRCBot.ADS (NOD32)
- W32/Smalltroj.CXEI (Norman)
- Mal/Generic-A (Sophos)
(Source : Secuser.com)
Son origine :
Pour commencer le hacker envoie un message plus ou moins ressemblant à celui-ci à plusieurs personnes : « Pourquoi ta tof est sur ce site ?» avec un lien du style http://msn-image.iquebec.com/?photo=votre_pseudo. Après avoir cliqué, votre navigateur télécharge le fichier photo3.com (ce nom peut varier mais comportera toujours l’extension « .com» ). Une fois le téléchargement effectué, la victime exécute le fichier et est immédiatement infecté.
Ses conséquences :
Une fois le fichier exécuté, le virus se copie sur votre disque dur et envoie régulièrement le message décris précédemment à tous vos contacts. Ensuite le virus infiltre le registre et le règle pour qu’il se lance à chaque démarrage puis il commence à détruire certains fichiers et à ralentir la machine (il est possible que vous n’arriviez plus à vous loguer sur Messenger). Enfin, il supprime certains fichiers système, infiltre le boot (partition de démarrage) et l’ordinateur ne peux plus démarrer.
Comme si cela n’était pas suffisant, le virus dispose d’un dispositif permettant de récupérer l’adresse du virus (au cas où l’hébergeur supprimerait le site). Heureusement, iQuébec (l’hébergeur gratuit) dispose d’une équipe efficace qui supprime les sites rapidement, pour informations voici ces sites et leur statut :
- http://msn-photos.isuisse.com/ – Supprimé !
- http://msn-photo.iquebec.com/ – Supprimé !
Désinfection :
Il existe malheureusement peu de solutions face à cette menaces venue du web, la plus connue est MSNFix mais il n’est efficace que si le virus n’en est qu’au premier stade (infection du registre, Messenger bloqué et messages envoyés automatiquement). En cas d’infection de la partition de démarrage, ce logiciel aura peu de chances de désinfecter entièrement votre ordinateur.
Tutoriel : http://www.malekal.com/tutorial_MSNFix.php.
Voila, cet article touche à sa fin, je précise que toutes les informations données dans cet article son vraies et vérifiées car j’ai un contact qui est malheureusement infecté par se malware et qui m’envoie régulièrement le célèbre message et l’url, donc je vérifie régulièrement l’état de ces sites.
@++
Edgar
Suivre les commetaires avec le flux RSS 2.0. Vous pouvez laisser un comentaire, or trackback depuis votre site.
le hacker, ne ferai pas ça, disons plutôt un pirate ou Lamer.
Salut,
Comme expliqué dans mon post sur CCM, je ne sais pas si c’est le pirate qui demande au virus de détruire la machine ou si c’est un hacker qui est juste chargé de mettre à jour l’url du virus.
Affaire à suivre, @++
salut à toi… Quand il s’agit de destruction, parlons plutôt de pirate, ou de Black Hat.
Malheureusement ou heureusement (je ne sais pas ce qu’on doit choisir ^^), j’ai réussi a désinfecter mon contact, donc plus du nouvelle de notre virus.
Black Hat mdr n’employe pas des mots dont t’as entendu parlé dernièrement et que tu n’en connais pas la signification alala, je me marre avec vos remarques
@KeopsEraze
parlons plutôt de pirate, ou de Black Hat.
Tu ne sais pas lire ?
je crois que non ! Je parlais avant que tu n’arrives et essayes de rouler des mécaniques de Lamers, ensuite de pirate, et enfin pour conclure de Black hat !
Tous le coté négatif des vrais Hacker !
Je ne pense pas que tu puisses me donner des leçons sur ce sujet là
Cdlt..
Espion3004.
hello !n ‘destruction progressive de votre ordinateur’
précision indispensable ? les parenthèsse en disent parfois davantage que tout le reste 
merci pource billet intéresssant, au plaisir de vous lirz !
Bonjour,
Tout d’abord, merci pour vos compliments !
Cette parenthèse a été écrite dans le chapô, qui sert à fournir une rapide description du contenu de l’article. Dont le but de ce dernier est de parler des caractéristiques techniques du virus ainsi que de ces remèdes.
@++
ok, salut à tous, quoi de neuf Edgar ?
Pas grand chose pour le moment, étant en vacances je met un peu l’informatique de côté, mais je prépare néanmoins un article sur le virus TR/Crypt.XPACK.Gen (Edit, tiens on dirait que c’est une variante du virus MSN, cf. la liste du nom de virus détecté par la plupart des antivirus…), un beau virus dont j’ai eut la « chance» d’être infecté pour aider les personnes infectés.
Voilà pour les nouvelles… De nouveaux articles sont prévus pour la rentrée.
Bye, Edgar.
En même temps il craint ce virus, une image ne peut pas porter une extension .com, alors c’est vraiment hyper mal conçu, théoriquement y’a que les gens naïfs ou qui connaissent rien qui se font avoir.
Edit : tu ne m’en voudras pas d’avoir éditer ton message, tout le monde ne peut pas être aussi bon que toi en informatique, il y a ceux qui surfent pour le plaisir et ceux qui s’y connaissent amplement. Donc un bon conseil : évite d’être aussi direct, ça pourrait te jouer des tours.
Salut,
Je ne sais pas ou tu as lu que ce virus se cachait derrière un image… Mais en tout cas c’est faux, il se cache derrière un extension .com, c’est à dire un format d’exécutable utilisé sous MS-Dos et encore utilisé par certains programmeurs lorsqu’ils codent en assembleur. Rien à voir avec les images, donc…
@++
Edgar
Bien
j’ai régulièrement des contacts infectés, je leur passerais ton lien