Zhelatin.LJ est une variante de la famille des vers Storm Worm. Comme tous ses frères, Il se présente sous forme d’un message sans fichier joint. Le texte du message contient des liens usurpés des sites proposant des jeux a l'occasion de la fête Halloween.

WORM/Zhelatin.Gen [Antivir)], Downloader.Tibs [AVG], Trojan.Peed.ING [BitDefender], Trojan.Peed-39 [ClamAV], Trojan.Packed.193 [Dr.Web], Win32/Sintun.AK [eTrust], Email-Worm.Win32.Zhelatin.lj [F-Secure], Trojan.Packed.13 [Symantec]

Zhelatin.LJ se propage par la technique de spamming. Le message présenté a les caractéristiques suivantes :

-Le Titre est variable, des exemples de titres rencontrés sont :
• Dancing skeleton
• Party on this Halloween

-l’expéditeur du message est une adresse usurpée ou générée aléatoirement

-Le corps est un petit texte HTML variable avec un lien hypertexte. L’adresse apparente du lien est une adresse sous forme décimale (http://xx.xx.xx.xx/)

Ces adresses pointent vers un site malveillant avec une page d’accueil intitulée : « Dancing Skeleton » qui fait semblant télécharger un jeu permettant de faire danser un squelette en musique au rythme du curseur de la souris. Si la machine n’est pas à jour avec ses correctifs le ver tente alors d’installer un programme malicieux. Sinon il invite l’utilisateur à télécharger un fichier : halloween.exe :










L’exécution de ce fichier permet l’installation du virus sur le disque dur et la désactivation de tous les logiciels de sécurité, puis ouvre une porte dérobée permettant la prise de contrôle à distance de la machine par un pirate.

VIRUS