Le virus

Novarg (ou MyDoom ou Mimail...) est un virus qui se propage par email et KaZaA. Il se présente sous la forme d’un message dont le titre est aléatoire, accompagné d’un fichier joint dont l’extension est .BAT, .CMD,.EXE, .PIF, .SCR ou .ZIP et dont l’icône est faussement souvent celle d’un simple fichier texte. Si ce fichier est exécuté, le virus s’envoie aux contacts dont les adresses figurent dans le carnet d’adresses Windows et divers autres fichiers, installe une backdoor et se copie sous divers noms aguicheurs dans le répertoire partagé via KaZaA.

Description détaillée

Novarg se présente sous la forme d’un message dont le titre, le corps et le nom du fichier joint sont aléatoires Quelques titres de messages :

 test
 hi
 hello
 Mail Delivery System
 Mail Transaction Failed
 Server Report
 Status
 Error
 [caractères aléatoires]

Le corps du message est variable, et incite à ouvrir le fichier joint :

 [rien]
 The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
 The message contains Unicode characters and has been sent as a binary attachment.
 Mail transaction failed. Partial message is available.
 test

La pièce jointe possède un nom aléatoire, une extension en .BAT, .CMD, .EXE, .PIF, .SCR ou .ZIP et son icône est celle d’un simple fichier texte :

 doc.bat
 document.zip
 message.zip
 readme.zip
 text.pif
 hello.cmd
 body.scr
 test.htm.pif
 data.txt.exe
 file.scr
 [caractères aléatoires].exe

Alias

 Win32/Shimg (CA)
 Novarg (F-Secure)
 W32/Mydoom@MM (Mc Afee)
 W32.Novarg.A@mm (Symantec)
 WORM_MIMAIL.R (Trend Micro)

Taille

22.528 octets

Découverte

26/01/04