Ces derniers jours plusieurs média spécialisés dans l'informatique ont rapporté l'apparition d'un nouveau virus appelé Nyxem, qui aurait la particularité de s'attaquer aux antivirus.

au sommaire


    Nyxem, un nouveau virus, ou beaucoup de bruit pour pas grand chose ?

    Nyxem, un nouveau virus, ou beaucoup de bruit pour pas grand chose ?

    Toute d'abord, pour ceux qui souhaitent consulter le site de leur antivirus, il faut savoir que les éditeurs ne se sont pas mis d'accord sur son nom. Il s'appelle bien Nyxem pour Sophos et Kaspersky, mais c'est Blackmal pour Symantec, Mywife pour McAfee et WORM_BLUEWORM pour Trend. Une telle dispersion des noms est assez rare.

    En fait ce n'est qu'une variante (version c) d'un ver apparu en mars 2004.

    De façon tout à fait classique il s'envoie en massemasse par mail soit en utilisant son propre moteur SMTP, soit en utilisant le serveur auquel est connecté l'utilisateur, soit en se connectant à divers autres serveurs. Comme de nombreux autres vers il tend à inhiber certains antivirus présents sur l'ordinateurordinateur. Tout ceci n'a donc rien d'original. Mais tandis que les autres vers s'attaquent généralement dans ce but aux clés de registre ou arrêtent les processus liés aux antivirus, lui utilise une méthode bien plus radicale : il efface tout simplement les fichiers des antivirus contenus dans les répertoires suivants :
    C:Program FilesNorton AntiVirus*.exe
    C:Program FilesMcAfeeMcAfee VirusScanVso*.*
    C:Program FilesMcAfeeMcAfee VirusScanVso
    C:Program FilesMcAfeeMcAfee VirusScanVs
    C:Program FilesTrend MicroPC-cillin 2002*.exe
    C:Program FilesTrend MicroPC-cillin 2003*.exe
    C:Program FilesTrend MicroInternet Security*.exe
    C:Program FilesNavNT*.exe
    C:Program FilesHyperTechnologiesDeep Freeze*.exe

    Il lance Windows Media Player (mais celui-ci reste muet) et on peut aussi noter un trafic vers HTTPHTTP://webstats.web.rcn.net/. Enfin si Winzip est installé, il change le nom de l'utilisateur et le numéro de série.

    Pour enlever ce ver, mauvaise nouvelle, il faudra sans doute réinstaller votre antivirus s'il est dans la liste ci-dessus (commencez par faire une désinstallation puis réinstallez-le et mettez les définitions des virus à jour). Redémarrez ensuite en mode sans échec, désactivez la restauration du système (pour ME et XP) et faites un scan complet de votre ordinateur.
    Pour plus d'informations, consultez le site de votre antivirus.

    La diffusiondiffusion de ce ver semble devoir rester modérée.
    Mais, comme d'habitude, ne cliquez pas sans réfléchir sur une pièce attachée à un mail !