Nos confrères de iNetSky nous ont informé de la propagation d'un nouveau virus sur les serveurs MSN.

Présentation

Ce virus a comme nom de code nakedmodel18.com et est détecté par les antivirus comme le virus W32/IRCBot.AAL.

Il se propage sur Messenger via un lien dans les conversations avec vos contacts. Ce lien pointera vers le site www.very-naked.com (aujourd'hui désactivé).

Bien que le site Internet proposant le virus en téléchargement est été désactivé, certaines personnes peuvent encore recevoir des messages de leur contacts leur indiquant le lien à télécharger.

Des variantes de ce virus existent sous différents noms : AgentDWA etc...

Votre antivirus pourra le détecter comme le virus :

• BackDoor.Ircbot.CRQ (AVG)
• Trojan.Win32.Agent.dwa (Kaspersky)
• Backdoor:Win32/IRCbot.gen!F (Microsoft)
• Win32/IRCBot.ACH (NOD32)
  

Caractéristiques

Win32/IRCBot.AAL est un virus qui se propage via le logiciel de messagerie instantanée Microsoft MSN Messenger. Il se présente sous la forme d’un message contenant un lien vers un site Internet lié en apparence à MSN. Si le destinataire clique que ce lien, il est invité à télécharger et installer un fichier nakedmodel18.com qui est le virus.

Ce fichier msn.com n’est pas un raccourci Windows mais un fichier exécutable. S’il est ouvert, le virus se copie sur le disque dur, modifie ensuite la base de registres pour s’exécuter automatiquement à chaque démarrage de l’ordinateur, s’envoie régulièrement à tous les contacts MSN puis ouvre une porte dérobée, se mettant en attente d’instructions en provenance d’un canal IRC permettant la prise de contrôle à distance de l’ordinateur.

Si vous recevez des messages semblables, c’est parce que l’ordinateur d’au moins un de vos correspondants est infecté : afin de stopper IRCBot.AAL, contactez la personne indiquée comme étant l’expéditrice des messages par Messenger ou par courriel pour l’informer que son ordinateur envoie des virus et suggérez-lui de contacter l’ensemble de ses contacts MSN pour les prévenir de ne pas ouvrir les fichiers nakedmodel18.com ou sinon de désinfecter leur ordinateur.

Voic les messages que la personne infectée enverra à ses contacts, en plusieurs langues :

Ce lien présent dans les conversations lançait (le site www.very-naked.com étant désactivé) le téléchargement du virus :

Lors de son exécution, ce virus se propageait sur l'ordinateur de la victime et scrutait son carnet d'adresse MSN  pour envoyer le lien à tous ses contacts.

Symptômes

Eradication du Virus

Les personnes possédant encore ce virus pourront faire un scan avec leur antivirus préféré qui devrait normalement le détecter.

Elles pourront aussi utiliser le désinfecteur LiveKill :

Télécharger MSNfix

Télécharger MsnCleaner

Vous pouvez également utiliser cet antivirus en ligne gratuit qui scannera le contenu de votre ordinateur.

Eradication manuelle

Si ces antivirus n'ont toujours pas détecté et éradiqué le virus, voici la manipulation à effectuer :

• Ouvrez le menu Démarrer puis cliquez sur "Executer" et tapez dans la fenêtre s'affichant :
  
  msconfig
  
  puis validez.
  
  
• Dans la fenêtre s'ouvrant, choisissez l'onglet "Démarrer" et recherchez la ligne contenant le mot services.exe et décochez la case correspondant à cette ligne.
  
  Validez par OK, puis redémarrez votre ordinateur.
  
  
  
• Ouvrez le Poste de Travail puis activez les fichiers cachés en allant dans le menu "Outils", "Options des dossiers...". Dans la fenêtre qui s'affiche, choisissez l'onglet "Affichage" puis cochez la case "Afficher les fichiers et dossiers cachés".
  
  
• Rendez-vous dans le dossier :
  
  Sous Windows Vista :
  
  C:\Users\VotreNomUtilisateur\AppData\Local\Temp
  
  Sous Windows XP :
  
  C:\Documents and Settings\VotreNomUtilisateur\Local Settings\Temp\services.exe
  
  
  
  
• Faites un clic droit sur le fichier services.exe puis "Supprimer". Allez sur votre Bureau et videz la Corbeille.
  
  
• Le virus a été supprimé !