Technorati
Viadeo
Facebook
LinkedIn
MySpace
Digg
Delicious
Reddit
StumbleUpon
Buzz
- Découvert :
- 17 Janvier 2006
- Mis à jour :
- 13 Février 2007 12:48:34 PM
- Egalement appelé :
- CME-24, Win32.Blackmal.F [Computer Ass, Email-Worm.Win32.Nyxem.e [F-Se, Email-Worm.Win32.Nyxem.e [Kasp, W32/MyWife.d@MM [McAfee], W32/MyWife.d@MM!M24 [McAfee], Win32/Mywife.E@mm [Microsoft], W32/Small.KI@mm [Norman], Tearec.A [Panda Software], W32/Nyxem-D [Sophos], WORM_GREW.{A, B} [Trend Micro]
- Type :
- Worm
- Systèmes affectés :
- Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
W32.Blackmal.E@mm est un ver d'envoi en masse de courrier électronique qui tente de se propager à travers les partages réseau et qui diminue les paramètres de sécurité. Le troisième jour de chaque mois, il tente de remplacer par du texte personnalisé des fichiers avec certaines extensions.
Détection de haut niveau – les symptômes suivants peuvent suggérer la présence de W32.Blackmal.E@mm.
- Utilise son propre moteur SMTP pour envoyer un message électronique avec une copie du ver comme pièce jointe.
Recherchez les ordinateurs qui ne sont pas des serveurs de messagerie et qui font circuler des informations sur le port 25.
Répertorie les ordinateurs situés dans le même domaine que l'ordinateur hôte à l'aide de WNetOpenEnum. Le ver exécute la commande "net use \\[NOM DE L'ORDINATEUR] /user:administrator""" pour se connecter à cet ordinateur. Cependant, si l'utilisateur sur l'ordinateur compromis est déjà connecté à un autre ordinateur du réseau, le ver pourra utiliser cette connexion.
Recherchez les comptes d’utilisateur verrouillés en raison d’une attaque virulente sur le mot de passe.
Tente d'accéder à l'URL suivante : [http://]webstats.web.rcn.net/[SUPPRIME]/Count.cgi?df=765247
Recherchez les ordinateurs ayant accédé à ce site Web. Isolez et utilisez l’outil de réparation ou effectuez une analyse avec les définitions de virus mises à jour.
Dates de la protection antivirus
- Version initiale des définitions Rapid Release17 Janvier 2006
- Dernière version des définitions Rapid Release14 Août 2011 révision 022
- Version initiale des définitions Daily Certified17 Janvier 2006
- Dernière version des définitions Daily Certified15 Août 2011 révision 002
- Date de la version initiale des définitions Weekly Certified17 Janvier 2006
Cliquez ici si vous souhaitez une description plus détaillée des définitions de virus Rapid Release et Daily Certified.
Evaluation de la menace
Virulence
- Niveau de virulence :Low
- Nombre d'infections :More than 1000
- Nombre de sites :More than 10
- Répartition géographique :Low
- Contrôle de la menace :Easy
- Suppression :Moderate
Dommages
- Niveau de dommages :Medium
- Elément déclencheur :Ne s'applique pas
- Résultat d'activation :Supprime les fichiers et les entrées de registre des applications de sécurité.
- Envoi de courrier électronique en masse :Crée un envoi en masse de lui-même en utilisant des adresses recueillies sur l'ordinateur infecté.
- Supprime des fichiers :Tente de supprimer des fichiers liés aux programmes de sécurité.
- Modifie des fichiers :Ne s'applique pas
- Diffuse des informations confidentielles :Ne s'applique pas
- Dégrade les performances :Ne s'applique pas
- Cause l'instabilité du système :Ne s'applique pas
- Compromet les paramètres de sécurité :Ne s'applique pas
Distribution
- Niveau de distribution :High
- Objet du courrier électronique :Variable
- Nom de la pièce jointe :Variable
- Taille de la pièce jointe :Ne s'applique pas
- Ports :Ne s'applique pas
- Lecteurs partagés :Ne s'applique pas
- Cible d'infection :Ne s'applique pas
- Date de la pièce jointe :Ne s'applique pas
Rédigé par :Rodney Andres