[En cours] Mail abuse

koga · Nouveau **Hors-ligne**

Salut... en rechercherchant anniversaire.asx je suis tombé sur l'aduf... ca tombe bien jsuis inscrit ^^

Je viens de recevoir cet email aussi, ca se généralise, plus d'infos ici: http://blog.gonzaguedambricour.....oh-my-god/

A +

Symphonie · Nouveau **Hors-ligne**

Bonsoir à tous...

Bon, alors voici ici, le seul endroit où j'entends parler de ce truc...

Et moi, j'ai eu moins de falir que vous parce que pas de bol, c'est un ami (qui n'est même pas chez Free) qui me l'a envoyé et qui a justement fêté son anniv en janvier Crying or Very sad

Bref, voici ce qui se passe : il s'est renvoyé via mon mail, mais à part ça, je n'ai rien à déplorer...
Mon antivirus n'a rien détécté...
Par contre j'ai constaté qu'il n'est pas passé par mon carnet d'adresse mais s'est envoyé aléatoirement à des adresses mails de qui j'ai reçu des messages ou à qui j'en ai envoyé (ne serait-ce qu'une fois...)

Du coup, je reçois : réponses automatiques de supports que j'ai un jour contactés, réponses auto de ma banquière qui est en vacances, réponses de contacts qui me disent "mais qui vous êtes, on n'ouvre pas de pièces jointes de gens qu'on connait pas..."
En plus, apparemment, il s'envoie de ma boîte vers des adresse que je n'ai JAMAIS contacté

Qu'est-ce que je peux faire pour arrêter le massacre???

MRick · Intéressé **Hors-ligne**

Ce fichier est bien un downloader qui télécharge un troyen.

Il est détécté sous le nom de :
TROJ_ASXLOAD.E (Trend Micro)
Generic Downloader.o (McAfee)

Le troyen s'appelle Codecs.exe il était détecté ce matin par Trend Micro, mais ne l'est plus, je suppose que le créateur du virus l'a modifié entre temps.

Il se mets à jour ici :
http://servercoxxxx

Attention ne cliquez pas sur le lien ci dessus, le fichier est infecté. A l'heure qu'il est (Lundi 19 Fév 14h20) le site en question n'a pas été désactivé.

Symphonie · Nouveau **Hors-ligne**

Pour info, j'ai réussi à me désinfecter avec plusieurs scans kaspersky en ligne, suppression des fichiers manuellement, + scan antivir, nettoyage ccleaner, et surtout suppression de la restauration du système car il se planquait là aussi...

Babass123 · Connaisseur **Hors-ligne**

Il y a un truc que j'arrive pas a comprendre. C'est que moi j'ai tout fait pour qu'il se declanche que je vois a quoi il ressemblait et je m'en suis débarrassé en 5min juste le tps de voir en quoi il consistait. Pourtant mon antivirus (avast) ne m'a été d'aucune aide. Je n'ai pas de firewall. Donc je comprend pas comment il est possible que chez certaines personnes il y ait vraiment des problemes.

Pierre2.0 · Nouveau **Hors-ligne**

Bonsoir.
Moi, je fais partie des gens pas très intelligents et pas très doués en informatique.
J'ai reçu cette pièce jointe de l'adresse d'un ami, donc je ne me suis pas méfié, à tort, car ca aurait dû me mettre la puce à l'oreille quand même.
J'ai donc ouvert la pièce jointe. Ca a pas mal ramé, et je me suis douté tout de suite de quelque chose.
J'ai dû rebooter.
Depuis rien.
Mais que puis-je faire pour être sûr de ne pas avoir été infecté, et de ne pas infecter d'autres?

Merci
Pierre, nouveau ici.

Baboun · Connaisseur **Hors-ligne**

Déjà à l'avenir, ne jamais ouvrir ce genre de mail ou pièce jointe ou autre.

Ensuite, lancer antivirus et autre mais si ton PC est bien infecté, et bien bon courage.

Symphonie · Nouveau **Hors-ligne**

Pour info, je suis parvenue à me désinfecter en suivant la procédure décrite sur ce forum

http://forum.aideonline.com/ai.....6022-1.htm

Je pense que ça pourra en aider plus d'un...

Petite précsion le virus se planque aussi dans la restauration système : donc surtout, ne faites pas de restau sytème en coryant vous débarasser de ce virus!!! pensez à la désactiver (clic droit sur poste de travail>propriétés>onglet restauration système>cocher "désactiver la restauration système")

Une fois que vous êtes sûrs d'avoir viré tout, redémarrez votre pc, et réactivez la restau (+ création d'un point de restauration, par précaution pour en avoir un sain...)

Bon il s'agit d'un trohjan downloader, qui n'agit pas tout de suite... Pour ma part entre l'overture du fichier "codecs.exe > fichier infecté) et la première réaction (dupplication par mail) il s'est passé plus de 48 heures... (mais il a pu se passer des choses que je n'ai pas remarquées entre, comme le dl d'autres trojans... bref)
Je pense que si on se désinfecte rapidement, les conséquences sont minimes, ce virus a l'air un peu "basique" et pas très malin... Wink

Bon courage...!

MRick · Intéressé **Hors-ligne**

Oui ce virus semble assez basique, mais il a un gros point fort par rapport à d'autres : il écrit des messages dans un bon français, un texte crédible, et il ne pratique pas l'usurpation d'identité de l'expéditeur.

Conclusion : on reçoit des messages en Français venant de connaissances ça marche beaucoup mieux que les messages en anglais venant d'un inconnu. C'est ce qu'on appelle du "social engineering".

Le fichier codecs.exe qui est téléchargé est modifié sans arrêt (je le vérifie 2 fois par jour depuis lundi et il change à chaque fois), et il est détecté sous des noms différents par les antivirus.

Lundi, j'ai soumis des souches à Trend Micro, McAfee et Sophos.

J'ai pu constater (c'est mon boulot de vérifier ça) que les produits professionnels de ces éditeurs détectent bien ce virus depuis mardi. Je suppose que les version grand public de McAfee et Trend Micro le font bien aussi. Il me semble que Sophos ne vend pas au grand public, et je n'ai pas de contact avec les autres éditeurs.

J'ai infecté une machine dans mon labo, et je n'ai eu aucun mal à la nettoyer.

Babass123 · Connaisseur **Hors-ligne**

Je reposte car je viens a nouveau de recevoir ce mail. Si Free pouvait envisager de faire qqch ça serait bien sympa... Twisted Evil

rital73 · Régulier **Hors-ligne**

Babass123 · Connaisseur **Hors-ligne**

Le truc la c'est que les mail viennent d'une adresse mail Free. Alors soit cette personne est infecté par le trojan qu'a l'air de comporté ce mail soit elle est a l'origine de ce mail. donc Free n'est qd meme pas totalement impuissant devant cela. (meme si j'insiste c'est pas pour moi que je poste mais pour tout ceux qui pourrait se faire avoir Wink

)

freemat · Webmaster **Hors-ligne**

Symphonie · Nouveau **Hors-ligne**

Mais de toutes façons, ces mails on les reçoit de personnes infectées elles aussi, et le virus utilise toutes les adresses mails des contacts des contacts.. etc ça fait boule de neige : moi je l'ai reçu de boîtes liberty surf, hotmail, club-internet...etc
Donc je vois pas en quoi Free serait particulièrement concerné!!!
Par contre en tant qu'abonné Free, si on est infecté et que le virus se dupplique et se propage à partir de notre machine, Free coupe rapidement la connexion à l'abonné en question et ce dernier doit fournir une preuve de désinfection de sa machine avant de pouvoir espérer récupérer sa connexion. J'en sais quelque chose: je l'ai vécu une fois, et je vous dis pas quelle galère c'est de devoir se désinfecter sans avoir accès à internet, et ensuite passer un certain temps au tel avec eux pour faire parvenir par fax le rapport de desinfection... Rolling Eyes

Mais en soi, je comprends, c'est une mesure radicale, mais efficace : elle m'a appris à ne pas trainer et à agir rapidement en cas de contamination : avec ce virus, je n'avais aucune info, et j'y ai passé 24 longues heures sans dormir, et je suis parvenue à m'en débarraser avant la coupure... ouf...
Et j'ai aussi appris à être vigilante...
Dorénavant quand je reçois un mail infecté, je réponds à l'expéditeur en donnant une procédure complète de désinfection pas à pas. tant pis si j'y passe du temps. Moi j'aurais bien aimé qu'on m'aide ainsi...
Bon courage à tous, le problème n'est pas seulement chez Free, tout le monde est concerné dorénavant!!!