Nouveau Virus MSN ? Very-Naked.com

10 janvier 2008

Bonjour,

Voila cette nuit je rentre du boulot, je regarde qui est venu me parlé sur MSN un de mes contact ma dit : (you naked ?? :-O www.very-naked.com/?=mon_adresse@hotmail.com). Attention ne cliqué surtout pas dessus, le lien vous renvois bien sur ! sur (~~www.very-naked.com~~ l’index). Ce qui vous fait télécharger un virus que je n’ai pas téléchargé parce que mon navigateur ma donné le choix de le télécharger ou pas ! Un logiciel nommé : nakedmodel18.com qui cache derrière ce nom ? Win32/IRCBot.AAL

Win32/IRCBot.AAL est un virus qui se propage via le logiciel de messagerie instantanée Microsoft MSN Messenger. Il se présente sous la forme d’un message contenant un lien vers un site Internet lié en apparence à MSN. Si le destinataire clique que ce lien, il est invité à télécharger et installer un fichier nakedmodel18.com qui est le virus.

Ce fichier msn.com n’est pas un raccourci Windows mais un fichier exécutable. S’il est ouvert, le virus se copie sur le disque dur, modifie ensuite la base de registres pour s’exécuter automatiquement à chaque démarrage de l’ordinateur, s’envoie régulièrement à tous les contacts MSN puis ouvre une porte dérobée, se mettant en attente d’instructions en provenance d’un canal IRC permettant la prise de contrôle à distance de l’ordinateur.

Si vous recevez des messages semblables, c’est parce que l’ordinateur d’au moins un de vos correspondants est infecté : afin de stopper IRCBot.AAL, contactez la personne indiquée comme étant l’expéditrice des messages par Messenger ou par courriel pour l’informer que son ordinateur envoie des virus et suggérez-lui de contacter l’ensemble de ses contacts MSN pour les prévenir de ne pas ouvrir les fichiers nakedmodel18.com ou sinon de désinfecter leur ordinateur.

TYPE :
Ver

SYSTEME(S) CONCERNE(S) :
Windows

ALIAS :
Win32/IRCBot.AAL

TAILLE :
29 ko

DECOUVERTE :
09/01/2008
Via NOD32

Partager ce lien ! Ces icônes sont des liens vers des sites de partage de signet sociaux où les lecteurs peuvent partager et découvrir de nouveaux liens.

Articles relatifs

Ecrit par admin Classé dans Actualités, Internet

40 réponses à “Nouveau Virus MSN ? Very-Naked.com”

ced a dit :
10 janvier 2008 à 12:42
comment le supprimer
Matthieu a dit :
10 janvier 2008 à 13:24
Bonjour, j’ai une copine qui vient de l’avoir, comment le supprimer svp ????
saelynh a dit :
10 janvier 2008 à 13:48
est-ce qu’on peu aussi, au lieu de gentillement prevenir ses contact, leur rire a la tronche tout en mangean des chips en ce disant qu’on est bien content d’ettre sur un system sûr ?
ptilu a dit :
10 janvier 2008 à 15:46
moi c’est pareil, je suis rentrer ché moi ds la soiré et sur msn ya un mec ki ma mi se lien 6 fois!! c’est vraiment dangereux?
seb a dit :
10 janvier 2008 à 17:05
alors? personne ne sait comment supprimer cette merde? je peux plus utiliser msn sans qu’il envoye le lien à tous mes contacts.. I NEED HELP!!
en attente a dit :
10 janvier 2008 à 19:27
même question… j’ai essayé de désinstaller msn et réinstaller ensuite… j’ai aussi supprimé le fichier tmp et l’image qui se sont mis sur mon bureau… ms visiblement ça recommence… oh et je n’ai pas de point de restauration du système malheureusement…
mOa-du-8301 a dit :
10 janvier 2008 à 19:47
generalement les cheval de troie kan il ne son pas executés il ne se declanche pa. la meilleur methode et de mettre en pseudo le probleme et o pire reformater L’ordi sa metai arivé ac TIBS.GU et jai etai obligé de reformaté depui je fai attention a tout les site ke je vizite ou ke je telecharge en tt ka bon courage a vous tous et faite attention sur le net c pas un des plus dangereux …

biz a tous
john a dit :
10 janvier 2008 à 20:11
Moi j’ai cliqué sur le lien mais après j’ai pas enregistré le fichier j’ai tout fermé pour pas prendre de risque. La question est dans ce cas, ais-je chopé le virus ???
Jietch a dit :
10 janvier 2008 à 22:02
Quelqu’un aurait une solution, une mise à jour d’un antivirus ? Que faut-il faire… A t on une autre solution qu’un formatage?
Mickael a dit :
10 janvier 2008 à 22:29
j’ai moi aussi eu ce problème mais j’ai trouvé enfin internet a trouvé pour moi un moyen de le resoudre :

-Télécharge MSNFix.zip (de !aur3n7) http://sosvirus.changelog.fr/MSNFix.zip et décompresse-le sur le Bureau.

# Redémarre ton PC en mode sans échec :

A la fin du chargement du BIOS, commencez à appuyer sur la touche F8
de votre clavier. Procédez ainsi jusqu’à ce que le menu des options
avancées de Windows apparaisse. Si vous commencez à appuyer sur la
touche F8 trop tôt, il est possible que certains ordinateurs affichent
le message “erreur clavier”. Pour résoudre ce problème, redémarrez
l’ordinateur et essayez de nouveau.
En utilisant les flèches de votre clavier, sélectionnez Mode sans
échec dans le menu puis appuyez sur Entrée.

S’il y a plusieurs comptes, choisis ton compte personnel

# Lance le fichier MSNFix.bat qui se trouve dans le dossier MSNfix, sur le bureau.
# Exécute l’option R.
# Si l’infection est détectée, exécute l’option N.
# Sauvegarde ce rapport sur ton bureau.
# Post moi ce rapport dans ta prochaine réponse.
en attente a dit :
11 janvier 2008 à 9:06
Bien vu Mickael ! j’ai fait ça aussi ms qd je tape R rien ne se produit… Pourtant tous les x temps, des fenêtres msn s’ouvrent les unes à la suite des autres ms j’ignore si le virus envoit tjs le lien.. que faire?
Joss a dit :
11 janvier 2008 à 11:48
J’ai suivi la procédure avec msnfix, il m’a trouvé une infection, semble l’avoir réparée, mais comme je ne comprends rien au rapport, je le poste au cas où quelqu’un y comprendrait quelquechose:

MSNFix 1.623

C:\Documents and Settings\Bureau\MSNFix\MSNFix
Fix exécuté le 11/01/2008 - 11:37:53,89
mode normal

************************ Recherche les fichiers présents

… C:\DOCUME~1\LOCALS~1\Temp\services.exe

************************ MSNCHK ***** /!\ beta test /!\

************************ Recherche les dossiers présents

Aucun dossier trouvé

************************ Suppression des fichiers

.. OK … C:\DOCUME~1\LOCALS~1\Temp\services.exe

************************ Nettoyage du registre

************************ Fichiers suspects

Aucun Fichier trouvé

Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 11012008_11385559.zip

————————————————————————
Auteur : !aur3n7 Contact: http://changelog.fr
————————————————————————

——————————————— END ———————————————
uOhaNa a dit :
11 janvier 2008 à 14:12
Salut moi aussi j’ai eu ce virus, et j’a fais donc ce qu’il y avait écrit plus haut.

Voilà le rapport:

C:\Documents and Settings\Compaq_Propri‚taire\Bureau\MSNFix(2)\MSNFix
Fix exécuté le 11/01/2008 - 14:00:05,35 By Compaq_Propri‚taire
mode sans échec

************************ Recherche les fichiers présents

… C:\DOCUME~1\COMPAQ~1\LOCALS~1\Temp\services.exe
… C:\WINDOWS\IFinst27.exe

************************ MSNCHK ***** /!\ beta test /!\

************************ Recherche les dossiers présents

… C:\Temp\

************************ Suppression des fichiers

.. OK … C:\DOCUME~1\COMPAQ~1\LOCALS~1\Temp\services.exe
.. OK … C:\WINDOWS\IFinst27.exe

************************ Suppression des dossiers

.. OK … C:\Temp\

************************ Nettoyage du registre

************************ Fichiers suspects

/!\ ces fichiers nécessitent un avis expérimenté avant toute intervention

[C:\babylon_larousse_fre_eng_spa_ger_ita_fre_multidico.exe] 2A86A8861D2BD417B372FDD28273634B
[C:\vbrun60sp6.exe] 899185DAA1572EC47DDAEFA1B9766136

[color=#FF0000][b]==>[/b][/color] SVP merci d’envoyer le fichier [b] C:\DOCUME~1\COMPAQ~1\Bureau\Upload_Me.zip [/b] sur http://upload.changelog.fr

Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 11012008_14023310.zip

————————————————————————
Auteur : !aur3n7 Contact: http://changelog.fr
————————————————————————

——————————————— END ———————————————
gero a dit :
11 janvier 2008 à 14:42
j’ai moi aussi suivi la procédure (merci a Mickael au passage), un petit qqc a été détécté et isolé (en tout cas je pense car MSN fonctionne correctement) et j’ai renvoyé le rapport. mais comment savoir si cette sal****rie a bien été supprimée de mon pc??
Mickael a dit :
11 janvier 2008 à 16:33
euh bah ecoute j’ai eu le meme probleme de je compatie avec tout le monde !
par contre moi aussi apparement le virus ne fait plus de degats !
donc normalement il a ete supprimé !

@ en attente : ” j’ai du faire plusieurs fois la methode afin que mon pc reconnaisse le virus”

@ Joss on est deux a rien comprendre de ce rapport mais allume MSN si ça te fait les page qui s’ouvre tt seul bah c’est mort sinon bah tu a reussi !
gero a dit :
11 janvier 2008 à 16:51
ya peut etre des infos a prendre la dedans…
bon courage a tous
ICI
en attente a dit :
11 janvier 2008 à 21:24
Bon pareil j’ai suivi la procédure et je devrais avoir supprimé les fichiers contaminés. Toutefois, une amie a fait la même démarche que moi et on dirait que ça a recommencé chez elle puisque j’ai reçu à nouveau le lien… Donc il est très possible que ce soit pareil pour moi et par conséquent pour vous.

question : avez-vous observé les liens envoyés? un truc du genre naked4friends.com avec votre adresse email. Après avoir utilisé MSNfix, mon amie envoit un lien différent : naked-family.com suivi de l’adresse. Est-ce un détail important?
Durst a dit :
11 janvier 2008 à 22:38
Ce virus est totalement incontrolable. Il échappe a tous les scans de n’importe quel antivirus (j’ai du en utilisé une dizaine).
Apparement les méthodes pour “cleaner” ses prédécesseurs tel que PhotoAlbum.zip ne fonctionne pas sur celui-ci (tout essayer encore).
J’ai noté quelques renseignements notement sur sa signature. Il a été compressé en UPX et programmé en Visual c++ 6, donc il me semble qu’un désassembleur pour retranscrire le code source d’un programme en Visual c++ 6 existe, sous le format d’un ocx.
Je laisse ce boulot aux experts, je ne connais pas trop ce language.
Voila un petit lien vers le programme VBE (Visual Basic éditor), mais je ne crois pas que ce soit le bon soft, car c’est du basique et non du c++, mais on ne sait jamais.
http://hexman.free.fr/fr/ocx.php

Enssuite j’ai noter les nombreuses références du programme a utiliser les API win32 de windows, tel que CreateMessageBoxA etc…
Celles-ci concernent notement les fichiers dll suivants:

- User32.dll
- Kernel.dll
- Advapi32.dll

et j’en passe.
Pour remédier au probleme au stade où nous en somme, je ne peux que vous conseiller d’installer l’excelent Pidgin 2.1.1 a la place de MSN, le temps qu’une solution nous soit proposée.

Bon courage, je suis moi même preneur de toutes les solutions qui peuvent exister.
Mickael a dit :
11 janvier 2008 à 23:28
en attente peu être que ton amie a de nouveau ete infectée ?
Jennifer a dit :
12 janvier 2008 à 0:02
Bonsoir,

J’ai téléchargé MSNFix, mais lorsque je tape R, rien ne se produit ! Que dois-je faire ?

Merci.
kyubi0608 a dit :
12 janvier 2008 à 0:43
Salut, pour ceux qui désire supprimer l’infection je vous conseille de vous rendre à ce lien : http://www.malekal.com/Backdoor.Win32.IRCBot_emoticons.php
tout vous sera expliqué en détails par une équipe qui fait vraiment du bon travail. voila , en espérant avoir pu aider quelques uns d’entre vous. a+
Laurent a dit :
12 janvier 2008 à 2:52
Bonsoir à tous,

Etant le developpeur de MSNFix cité plus heut j’apporte juste une petite précision afin de vous aider.

Si MSNFix ne fonctionne pas sur votre infection vous pouvez me faire parvenir le fichier ou le lien en utilisant ce formulaire
http://upload.changelog.fr

Le fichier m’aidera à analyser et mettre à jour MSNFix,
Il devrait ensuite vous suffire de le retélécharger le lendemain pour que la variante soit traitée.

MSNFix sera bientôt doté d’une fonction permettant de le mettre à jour et donc éviter de le retélécharger à chaque fois .. Mais bon, c’est pour bientôt.

Merci
Mickael a dit :
12 janvier 2008 à 13:23
au Passage Merci Laurent pour ton travail problème terminer suite a MSN fix merci
rom a dit :
13 janvier 2008 à 15:37
Laurent j’m bien ton logiciel, il est bien fait jte remercie… ( mais faudrait que tu précises dans le nom de tes fichiers un nom corecte ^^ parce que genre “ouketutcroisitiot” sa le fais pas trop ^^’ )
bon sinon vraiment bien joué
Laurent a dit :
13 janvier 2008 à 20:27
Héhé, si les noms de fichiers choquent attendez de voir la V2 et ses noms de fonctions

Merci pour les commentaires

++
rom a dit :
13 janvier 2008 à 20:30
t’a un site? (que j’y passe de temps en temps voir si il y a des nouveaux trucs =D )
Laurent a dit :
13 janvier 2008 à 20:47
Non pas de site. Seulement un forum mais pas très actif. C’est juste histoire d’avoir une vitrine accessible à tous.
Flo a dit :
14 janvier 2008 à 20:21
slt, donc j’ai le même probléme j’ai attraper le virus(merci pr l’info mikael) mais je voudrai savoir comment tu fait pr décompresser le fichier sur le bureau ? car je suis débutant et je ne sais pas comment on fait. Et oui sion depuis que j’ai attrapé le virus, microsoft word ne fonctionne plus. Est-ce que c’est lié au virus ? Merci d’avance bonne continuation à tous a+
Laurent a dit :
15 janvier 2008 à 0:25
Bonsoir,

Pour Word je ne pense pas que ce soit lié mais je peut vérifier ca..

Par contre si vous avez des soucis avec la décompression il existe une version avec installateur qui vous simplifiera la vie

http://sosvirus.changelog.fr/MSNFix.exe
Maikel a dit :
15 janvier 2008 à 18:33
Solution for this virus: http://www.makiek.nl/msn7.php
Vince a dit :
17 janvier 2008 à 13:43
J’ai eu le meme probleme que vous tous. C’est vrai que c’est vraiment la galere ce virus.
En tout cas merci Laurent pour ce que tu as fais parce que je n’en pouvais plus de ce virus de …..
jean a dit :
17 janvier 2008 à 18:42
salut laurent,
J’ai moi aussi choper le virus et j’ai téléchargé msnfix. il m’a trouvé 3 infections mais je n’arrive pas à savoir s’ils ont été supprimé
je t’envoie le rapport.
est-ce que tu pourrais m’éclairer sur sa signification parce que je suis très nul en info. merci!

MSNFix 1.633

C:\Documents and Settings\Roland-Billecart Pol\Mes documents\livekill\MSNFix\MSNFix
Fix exécuté le 18/01/2008 - 18:30:09,60 By Roland-Billecart Pol
mode normal

************************ Recherche les fichiers présents

… C:\Documents and Settings\Roland-Billecart Pol\??????.exe
… C:\WINDOWS\mrofinu*.exe
… C:\WINDOWS\mrofinu*.exe.tmp

************************ MSNCHK ***** /!\ beta test /!\

************************ Recherche les dossiers présents

… C:\Program Files\Temporary\

************************ Suppression des fichiers

.. OK … C:\Documents and Settings\Roland-Billecart Pol\??????.exe
.. OK … C:\WINDOWS\mrofinu*.exe
.. OK … C:\WINDOWS\mrofinu*.exe.tmp

************************ Suppression des dossiers

/!\ … C:\Program Files\Temporary\

************************ Nettoyage du registre

************************ Fichiers suspects

Aucun Fichier trouvé

Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 18012008_18304968.zip

————————————————————————
Auteur : !aur3n7 Contact: http://changelog.fr
————————————————————————
Maikel a dit :
17 janvier 2008 à 18:50
If you get any links on MSN please send them to me.
I will create a new solution for it.
E-mail: dummymaikel@hotmail.com
Laurent a dit :
17 janvier 2008 à 19:03
Bonjour,

J’ai fait une petite page pour expliquer le fonctionnement et détailler un peu le rapport

http://sosvirus.changelog.fr/
jean a dit :
17 janvier 2008 à 19:29
ok merci beaucoup laurent
J’ai essayé msn et ca ne bug plus
Grace a toi je pense que le virus est irradié
c’est cool ce que tu fais pour les nuls en info comme moi
vivement la version 2 de msnfix
Matthias a dit :
19 janvier 2008 à 20:07
Nan, mais faites plus simple.
Vous télécharger spyware doctor qui va vous détecter les endroit où se trouvent les fichiers infectés. En version gratuite il ne résout pas les problèmes d’infections mais vous permet de les situer. Ensuite utilisez un logiciel antivirus (peu importe) et analysez les fichiers cibles. Normalement il devrait les détecter.
Si jamais votre antivirus ne le détecte pas, bah allez-y à l’ancienne et amusez vous bien à la chasse au méchantes infections.
C’est juste une solution alternative qui marche dans la trés grande majorité des cas. Longue mais précise et efficace, elle vous permet de repérer les endroits les plus fréquement infectés.
Entre parenthèse, le logiciel que vous à indiqué Mickael fonctionne, j’ai moi-même eue l’un de mes contact infecté, et le logiciel à résolu l’erreur.
Sinon bah bonne journée à tous et pensez à faire des analyses antivirus plus fréquente^^.

Bye
AlexBordeaux a dit :
21 janvier 2008 à 15:10
je tiens juste a remercier Laurent pour sa page internet et son logiciel qui pour l’instant a semble t-il erradiqué ce vilain mechant virus
Dutendottefes a dit :
13 février 2008 à 20:36
Hello!
Nice site
Bye
pistille a dit :
21 avril 2008 à 21:24
bonjour aujourd’hui j’ai recu un message en discutant avec un ami voici le lien http://www.very-neked.net avec a la suite marquer photo et mon pseudo de msn
est un virus svp
merci bcp
bizz
skyme11 a dit :
16 juin 2008 à 15:42
le lien que msn envoie tout seul est de cette forme sur mon pc :foto? http://www.imageshacker.net/viewimage.php?=yosra–745@hotmail.fr

Trackbacks/Pingbacks

Ecrire un Commentaire !

Quelques règles à respecter lorsque vous laissez un commentaire sur ce site :

Eviter le language SMS, nous sommes sur un site et non sur un téléphone mobile .
Pas de racisme, de xenophobie, d'homophobie pas d'insultes envers d'autres visiteurs ou de la Rédaction .
Restez polis et courtois si non le ban sera pour toi !
Eviter le flood ou publicités .
Sinon votre commentaire sera supprimé ou vous serez même bannis . Cet espace est celui de tous, merci de le respecter.

Les commentaires sont soumis à la modération .Vous êtes seuls responsables des propos que vous tenez dans les commentaires.


Korben	Caledosphere	Koreus
Flepi	Da Kolkoz	Geek
Giiks	Koi de Neuf	WMC
Fubiz	Gonzague	Sucha
Bash fr	Nowhereelse	Emob
Mr Dream	Series TV	Jarod
GMP3	Clip 2 Zouk	PMD
BuzzPeople	ChauffeurBuzz	Soviet
Blog Sexy	Geek & Hype	Taz33
JDGamer	CoupFranc	Pingoo
Sopalin	GeekLifeBlog	i-@ctu
AccessOweb	Presse Citron	Guim
Radeville	Webinventif	Paul
Sickoner	Dumps-Sexy	iNetsky
Bleebot	Vendeesign	Pot :)
Paris Gratuit	Bizet Family	Ravana
Mik-Matt	Vincentabry	Tilap

Blog de iNetsky