Il s'appelle Novarg, MyDoom ou Shimgapi et arrive en pièce jointe à un courrier électronique dont quelques exemples du sujet sont : "hello", "Mail Transaction Failed" ou "Test". Ne cliquez évidemment pas sur cette pièce jointe dont les extensions sont : Cmd, .exe.zip ou .bat. et le nom sera par exemple : "document", "readme" ou "text". Une fois exécuté le virus installera un logiciel espion (backdoor) qui ouvrira les ports TCP de 3127 à 3198 sur l'ordinateur. Ceci permettra au créateur d'installer d'autres fichiers sur l'ordinateur infecté. Le ver se propage ensuite à toutes les adresses de courriers électroniques qu'il trouve dans le carnet d'adresse et dans d'autres fichiers sur le disque dur.
Apparu lundi, ce nouveau virus se propage à une vitesse qui par sa rapidité évoque celle de Sobig en août dernier. Symatec entre autres, en raison d'une augmentation du nombre de soumissions, a rehaussé l'évaluation de risque de W32.Novarg.A@mm au niveau 4 (le niveau 5 étant le degré de menace le plus élevé). Du 1er au 12 février, le ver tentera d'effectuer une attaque par saturation sur le site de l'éditeur de logiciels Sco www.sco.com. Le ver se désactivera le 12 février 2004.
Si vous avez été contaminé ou si vous voulez vérifier que vous ne l'êtes pas :
-Aller sur le site : http://www.symantec.com/
- cliquer Secutity reponse
- cliquer sur W32.Novarg.A@mm dans remove tools (milieu de la page)
- cliquer sur http://securityresponse.symantec.com/avcenter/FxNovarg.exe. (en mileu de page)
- lancer le proccess
Alerte virus : Novarg, MyDoom ou Shimgapi arrive en force
Jean-Pierre Largillet2 min de lecture