OVH Community, votre nouvel espace communautaire.

Futuravirus


sebquebec
27/02/2004, 14h13
Bonjour,

je ne sais pas si je suis à la bonne place pour ce mail...

Je crois être en posséssion d'un virus qui attaque le site

http://www.futura-sciences.com/

que vous hébergez.

Hier j'ai exécuté un fichier téléchargé sur un logiciel p2p. Ce fichier m'a donné la boîte de dialogue suivante: "The file is corrupted. Please obtain a new copy of the program". Une fois cliqué sur le bouton ok, le programme a créé un nouveau fichier exécutable dans le même répertoire (qui était une copie exact du programme téléchargé avec un nom différent). En exécutant les copies créées, les différents nom de fichiers créés sont:

Hotmail Hacker 2004 by FS.exe
Yahoo Mail Hacker 2004 by FS.exe
Wanadoo Hacking Tool 2004 by FS.exe
Portable Orange France Telecom Keygen by FS.exe
AOL Hacker 2004 by FS.exe

Lors de la première exécution du virus, celui-ci va modifier le fichier /windows/system32/iexplorer.exe

Avec mon firewall, j'ai détecté que /windows/system32/iexplorer.exe essayait d'envoyer des requetes tcp syn à futura-sciences.com à environ 10 secondes d'intervalle (ça ressemble beaucoup à un Denis de service...)

Si on change le fichier /windows/system32/iexplorer.exe en .txt, on peut voir dans le début du fichier
D V C L A L T F U T U R A V I R U S  M A I N I C O N

DVCLAL signifie Delphi Visual Component
Library Access License, ce qui suppose que le virus a été programmé en delphi.

Mon anti-virus Panda (à jour) ne détecte pas ce virus.

La date de la dernière modification du virus est le 12 février 2004 à 3:01, il est donc possible que le virus soit assez recent et ne soit pas très répandu.

J'aimerais savoir si OVH a vu des activités bizarre pour le site futura-sciences.com (ce qui permettrait de savoir si le virus est très répendu ou non..)

Je n'ai pas le temps de faire un reverse engineering du virus, je ne sais donc pas si celui-ci a d'autre fonction. Si quelqu'un est interressé à désassembler le virus et le fichier iexplorer.exe, ou simplement le voir, je peux vous l'envoyer par mail.

Sébastien