Salut !

  Si vous êtes ici, c'est que vous avez reçu un message vous annonçant que colis ne pourrait pas être livré car UPS n'a pas l'adresse du destinataire (vous) qui n'exsite pas.

  Hélas...
c'est encore une fois un canular (un Hoax) ! Sauf que cette fois ce ne sont pas les internautes qui se l'envoient, mais un connard de la pire espèce qui utilise ses machines pour des Spams de merde contenant un fichier ZIPé que vous allez vous empresser d'ouvrir pour chopper un virus.

  J'ai aussi reçu ses messages, à la même adresse, envoyés par deux "personnes" différentes, à la même heure, contenant le même fichier infecté. Ce jour du 30 juillet 2008, ce "HOAX" n'existe pas encore sur les sites Hoaxbuster et Hoaxkiller, je me suis empressé de leur en faire part. Merci, de rien, c'est normal entre nous...


  Antivir, mon
Antivirus gratuit, me dit que le fichier ZIP contient le Trojan TR/Spy.ZBot.DKV* , je ne vais pas le contredire ! J'ai envoyé ce fichier au site d'Antivir, pour analyse, il en ressort que c'est bien un Malware.

  Le site de VirusTOTAL a analysé également ce fichier, il en ressort que 19 logiciels antivirus sur 35 l'ont déclaré comme étant un Virus (en même temps, ça en dit long sur la capacité qu'ont ses logiciels à détecter ou pas un virus ! 19/35, ça laisse quand même une sacré marge d'erreurs...).

  Ensuite j'ai tout mis à la corbeille et adios amigo !


  Plus bas dans cette page, et en avant première, les deux messages reçus,
Alex64 étant plus rapide que son ombre à réagir aux attaques du net pas très net d'ailleurs...
* les effets indésirables de ce virus ou une de ses nombreuses variantes :

• Il modifie le registre
• Il vole des informations
• Il s'autocopie à l'emplacement suivant:
C:\Windows\ntos.exe
• Il supprime les fichiers suivants : %cookies% \ *.*
• Les fichiers suivants sont créés :
      
% SYSDIR% \ wsnpoem \ audio.dll
       % SYSDIR% \ wsnpoem \ video.dll
• Il essaie de télécharger un fichier :
      
http://81.95.145.241/**********/ldr.exe
       http://66.235.175.5/**********/ldr.exe

• Ils sont sauvegardés sur le disque dur local sous :
%TEMPDIR% \ 18.tmp. Ensuite, ces fichiers sont exécutés après avoir été complètement téléchargés.



Les clés de registre suivantes sont modifiées :

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

  Ancienne valeur:
• Userinit = %SYSDIR% \userinit.exe,
  Nouvelle valeur:
• Userinit = %SYSDIR% \userinit.exe, %SYSDIR% \ntos.exe,

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network]
  Nouvelle valeur:
• UID =% nom de l'ordinateur% _% numéro hexadécimal%

Des ports sont ouverts :
– svchost.exe  port TCP aléatoire afin de fournir un serveur proxy.

Il contacte des serveurs :
http://81.95.145.241/**********/cfg.bin
http://66.235.175.5/**********/cfg.bin
http://75.126.64.11/**********/s.php
DANGER
Le VRAI Trojan TR/Spy.ZBot.DK Colis UPS
  Après un Faux virus, avec le fichier sain de Windows, le fameux petit ourson du jdbgmgr.exe... Voici venirs le temps des enfants, c'est le pays... euh, qu'est-ce que je raconte, moi ?

  Voici le VRAI virus dans un FAUX message qui serait envoyé par la société UPS (livraison de colis, vous savez, les petites camionettes toutes marron foncé, comme dans les films américains...).
Hoaxkiller, halte aux rumeurs, spams et canulars...
Hoaxbuster, rétablir la vérité et lutter contre ces mensonges électroniques...
Avira AntiVir, un gratuit. Sans doute le moins nul du lot des Antivirus... Cet avis ne vaut que pour moi et je suis d'accord !
MESSAGE 1.

De :
"Maurice Franklin" UPS <ldbsgw@brallc.com>
A :
"mon-adresse-je-vais-pas-vous-la-donner@voila.fr"
Sujet :
UPS colis postal
Pièce Jointe :
UPS_E9712.zip (66 ko);

Bon jour,
malheureusement, nous avons manque de livrer le pli (votre colis postal), que vous avez envoy&#233; le 1er juillet,
parce que l’adresse du Destinataire n’existe pas.
S'il vous plait, imprimez la facture envoyee en fichier joint a ce message, et venez chercher le pli
a notre office a l’adresse indiquee a la facture.
Consultant Maurice Franklin,
UPS


  Les fautes de frappes ou/et d'orthographes sont d'origine. Une personne qui attend justement un colis va ouvrir la pièce jointe...



  Le second message, pratiquement identique.



MESSAGE 2.

De :
"Dorothea George" UPS <tlhx@bouygues.com>
A : "enore-mon-adresse-mais-je-vais-pas-vous-la-donner-non-plus@voila.fr"
Sujet :
UPS colis postal
Pièce Jointe : UPS_E9712.zip (66 ko);

Chers clients,
malheureusement, nous avons manque de livrer le pli (votre colis postal), que vous avez envoyé le 1er juillet,
parce que l'adresse du Destinataire n?existe pas.
S'il vous plait, imprimez la facture envoyee en fichier joint a ce message, et venez chercher le pli
a notre office a l?adresse indiquee a la facture.
Consultant Dorothea George,
UPS

Idem, les fautes sont d'origines.


  Alors, ce qui est étrange dans un sens, c'est que j'attends effectivement un colis, ces jours-ci, mais je n'ai pas la date exacte, et ne connais pas non plus le nom de l'entreprise qui va me livrer, UPS, La Poste, ou un autre transporteur...
LES DEUX MESSAGES QUE J'AI REÇU !
Malgré cette coïncidence, il se trouve que :

- au 1er juillet je n'ai rien commandé !
- quand j'ai commandé, je n'ai PAS donné cette adresse e-mail là, qui est justement réservée aux Forums d'internet, comme ça je suis tranquille niveau Virus et Spams. Pour des achats en ligne j'ai une autre adresse...
  Alors il serait tentant de répondre à Maurice Franklin (ldbsgw@brallc.com) et à Dorothea George (tlhx@bouygues.com) d'aller se faire foutre ensemble et de crever dans d'atroces souffrances (oui je me laisse aller, merde, après tout on en vacances non ?).

  Il ne faut PAS répondre ! Ça serait une erreur voir même plusieurs erreurs de commisent à la suite :

- ces personnes n'existent pas !
- ces personnes existent, mais ne sont pour RIEN dans l'envoi de ce message, si  ça se trouve votre propre adresse est utilisée dans le message que quelqu'un d'autre a reçu et imaginez qu'il vous répondre et vous insulte ?!
- en répondant, vous prouvez que vous avez reçu ce message et que l'adresse email (la vôtre) est valide et que vous existez bel et bien... vous allez en recevoir des centaines, maintenant !
- la Société UPS n'y est pour RIEN, celà ne vient pas d'eux, leur nom a été utilisé à des fins malhonnêtes, alors ne les innondez pas de messages amères et de rancunes...
Virustotal est un service GRATUIT qui analyse les fichiers suspects et facilite la détection rapide des virus, vers, chevaux de Troie et toutes sortes de malwares détectés par les moteurs antivirus.
Message d'ANTIVIR, suite au fichier que j'ai envoyé (en anglais, désolé)  :

We received the following archive files:

 
File ID         Filename         Size (Byte)      Result
25100169           UPS_E9712.zip           48.79 KB              OK

A listing of files contained inside archives alongside their results can be found below:

  File ID         Filename          Size (Byte)     Result
25100056           UPS_E9712.exe           57.5 KB           MALWARE


Please find a detailed report concerning each individual sample below:

  
Filename             Result
UPS_E9712.exe      MALWARE


  The file 'UPS_E9712.exe' has been determined to be 'MALWARE'. Our analysts named the threat TR/Spy.ZBot.dkv. The term "TR/" denotes a trojan horse that is able to spy out data, to violate your privacy or carry out unwanted modifications to the system.

  Detection will be added to our virus definition file (VDF) with one of the next updates.
  Voir le résultat d'analyse des 35 Antivirus du site VIRUSTOTAL :

- texte simple, 2 Ko, compatible Notepad pour la mise en page.

- copie écran, fichier image Png 601x1423 pixels, 55 Ko.

- tableau Excel simple, 20 Ko.

- entêtes complets des emails, fichier texte Ko.
Un grand merci à UPS, HoaxBuster, HoaxKiller, VirusTOTAL, Wikipédia et Antivir, pour leur participation involontaire dans cette page.
UPS   HOAXBUSTER   HOAXKILLER    VIRUS TOTAL    WIKIPEDIA    ANTIVIR
 Le SIDACTION...mobilisation ensemble contre le SIDA !
 Hoaxkiller, halte aux rumeurs, spams et canulars...
Hoaxbuster, rétablir la vérité et lutter contre ces mensonges électroniques...
La prochaine fois, je consulte :    LES ARNAQUES PAR MAIL    ou    HOAXKILLER    ou   HOAXBUSTER
 Les arnaques reçues par email
Exemple intelligent de prévention contre les risques de Phishing, par le navigateur Internet "Google Chrome" : ici, on peut voir un avertissement de sécurité, ce site est en effet un site d'arnaqueurs !
PHISHING ? HAMEÇONNAGE ? (exemple 1)
PHISHING ? HAMEÇONNAGE ? (exemple 2)
Parlons sécurité sur le net !
Faux Virus jdbgmgr, setdebug
Faux courrier UPS
Faux courrier Caisse d'épargne
Faux courrier PayPal
Faux courrier PayPal 2
Faux courrier Orange Telecom

Faux courrier Orange Telecom 2
Faux courrier Voila.Fr
Arnaque héritage qui ne sert à rien

Arnaque courrier 1€uro.com
Faux Virus jdbgmgr, setdebug
Faux courrier UPS
Faux courrier Caisse d'épargne
Faux courrier PayPal
Faux courrier PayPal 2
Faux courrier Orange Telecom

Faux courrier Orange Telecom 2
Faux courrier Voila.Fr
Arnaque héritage qui ne sert à rien

Arnaque courrier 1€uro.com
Vous avez été victime d'une escroquerie sur Internet ?
Appelez le 0811 02 02 17
(coût d'un appel local)
Vous avez été victime d'une escroquerie sur Internet ?
Appelez le 0811 02 02 17
(coût d'un appel local)
Vous avez été victime d'une escroquerie sur Internet ?
Appelez le 0811 02 02 17
(coût d'un appel local)
Vous avez été victime d'une escroquerie sur Internet ?
Appelez le 0811 02 02 17
(coût d'un appel local)
INFORMATIONS
Sécurité informatique sur le site du Crédit Agricole de Franche-Comté, ici.

Phishing, virus, mule, pharming, spyware, chevaux de Troie, spam, arnaques, canulars
Autre site : ici
La sécurité sur : http://assiste.com.free.fr
Avez-vous du cœur ?
Guerre aux Spams 1 2 3 4
Copyright © Alex64. Tous Droits Réservés 1998 - 2013

http://www.worldcommunitygrid.org
Ceci n'est pas une pub, c'est sérieux, j'en parle sur toutes mes pages...
Vous pouvez aider la science et la médecine avec votre ordinateur !