InoculateIt ne detecte pas BlancheNzeige (CAD
Hybris B)?
Mauvaise configuration de l' AV !
Activer la fonction heuristique,
et Real Time !
Eradiquer happy99
On peut
télécharger ceci
pour l'éradiquer
Protection simple contre les virus
Les virus qui se glissent dans votre boite aux lettres electroniques sont toujours
sous forme de fichier joint.
Pour ne plus risquer de cliquer par inadvertance
sur un mail malveillant, voici une petite astuce:
Il s'agit de creer une
regle dans Outlook pour que tous les mails accompagnes d'un fichier joint soient
regroupes ensemble dans un meme dossier que vous soumettrez à l'anti-virus.
Faite un clic droit sur la boite de reception puis selectionnez Nouveau dossier,
donnez-lui un nom qui vous rappellera sa fonction(EX:'attention fichier joint').
Dans le menu Outils, choisissez Assistant de gestion des messages.
Dans
la fenetre de gestion des regles, cliquez sur le bouton Nouveau.
Selectionnez
ensuite Deplacer les nouveaux messages d'une personne en particulier...
Pour
afficher la fenetre concernee, appuyez sur Suivant puis decochez la case De personne
ou liste de diffusion et cochez la case Qui contient des pieces jointes.
Cliquez
sur Specifie dans le texte, puis selectionnez le dossier que vous avez crée, à
savoir 'attention fichier joint'.
Cliquez enfin sur Terminer.
A present,
tous les messages contenant des pieces jointes iront directement dans votre dossier
'Attention fichier joint'.
CHOKE-WORM,Ce
ver est très facilement éradiqué par n'importe quel AV à jour.
Sous WinMe
se pose le problème des backup auto ou l4AV ne peut agir. Il faut donc supprimer
manuellement. Plus d'info sur:
vil.mcafeeasap.com
Un virus peut vous provoquez des dommages très important.
Allez vite
telecharger le patch pour l'eradiquer a cette adresse sircam.stm
Patch: clrav.com
suivez
le lien:nimda.html
pour info de preventions et d'éradication du virus.
Avec
Outlook Express, il est possible d'empêcher les virus de s'exprimer dans le corps
d'un message (en format texte enrichi):
Le principe:
Internet
Explorer fonctionne avec le niveau Internet
normal, et Outlook Express fonctionne avec
le niveau Sites sensibles où tout (ActiveX etc.)
a été désactivé.
Et Outlook Express utilise les niveaux de sécurité définis
dans Internet Explorer.
D'abord, aller dans Internet Explorer.
Outils
/ Options Internet... / Sécurité /.
Cliquez sur le niveau de sécurité
Sites sensibles, puis Personnaliser
le niveau.
et là, vous désactivez tout.
Ensuite, vous recliquez
sur Internet pour que Internet Explorer tourne avec
le niveau de sécurité "Internet" normal et vous cliquez sur OK.
Ensuite, dans
Outlook Express:
Outils / Options / Sécurité /
Cliquez sur Zone sites sensibles.
Ceci ira chercher
les paramètres Sites sensibles définis dans Internet
Explorer, paramètres où vous avez tout désactivé.
Ainsi, Outlook Express tourne
avec les Active-X et Cie désactivés, et Internet Explorer tourne avec un niveau
de sécurité plus normal.
Avant d'envoyer un message d'alerte, vérifier
sur le site www.symantec.com
et cliquer sur le lien Virus Hoaxes, puis dans le
champ de recherche, saisir le nom du virus.
ASTUCE
ANTI VIRUS FLASH.
Suite à la découverture de LFM.926, premier virus
ActionScript capable d'infecter les animations Flash (voir la fiche complète),
Macromedia vient de publier une astuce et un petit programme pour Windows permettant
d'empêcher tout virus Flash de s'exécuter automatiquement.
Attention:
ce programme n'est ni un correctif, ni un utilitaire de désinfection.
Il
se contente d'éliminer l'association entre le type de fichier SWF et l'exécutable
Flash, de manière à ce que toute tentative d'ouverture d'une animation indépendamment
d'une page web provoque l'affichage d'une fenêtre demandant de choisir avec quelle
application lire ce fichier.
www.secuser.com
download.macromedia.com
Version d'essai de virusscan de Mc Afee:
trial_vs
Panda Anti Virus rattrape le retard qu'il avait accumulé
auprès de ses concurrents.
Nous vous invitons a decouvrir depuis le
site SoSWindows ( Lien Anti Virus ) ses performances que nous avons jugé tres
bien.
Prenez un peu de temps et testez absolument ce programme.
Désinfection
gratuite en ligne Directement.
Débarrassez votre ordinateur des virus avec
Panda ActiveScan, l'antivirus en ligne.
Vous n'avez plus besoin d'installer
de programme.
Il vous suffit Juste d'être connecté sur Internet et cliquez
lorsque vous voulez nettoyer votre ordinateur.
Analyse, désinfecte et supprime
les virus de tout votre système, disque dur, fichiers compressés et de tous vos
e-mail.
Se met à jour plusieurs fois par jour, ainsi, lors de chaque analyse
il détecte d'urgence les nouveaux virus.
Pour empêcher
un virus de se transmettre à tous les contacts du carnet d'adresse, créer un nouveau
contact dans le carnet d'adresse.
Nom du contact 000 (3 zéros)
Rien d'autre (pas d'adresse de messagerie).
Comme en principe ce contact se
place en début de liste, une tentative d'envoi à ce contact fait réagir Outlook
(envoi impossible).
Cela n'empêche pas d'être soit même infecté, mais évite
d'infecter les autres à son insu.
virus VBS HAPTIME
A1:
VBS/Haptime-A est un virus qui se propage aussi en utilisant Outlook
Express version 5.0.
Il essaie d'infecter les fichiers avec les extensions
VBS, HTML, HTM, HTT et ASP.
Il essaiera aussi de supprimer les fichiers EXE
et DLL lorsque la somme du mois et du jour est égale à 13 (par exemple, le 7 juin).
un fixe qui va détecter et éradiquer le virus.
www.secuser.com
Virus pas cool:
Depuis le 6 février un nouveau
virus baptisé W32.Rexli.A, découvert par Symantec, se promène sur le web.
Nous l'avons reçu le 8 et voici son analyse.
Menger est un ver ciblant spécifiquement les utilisateurs
d'Internet Explorer et de MSN Messenger.
Il se présente sous la forme
d'un message court reçu par mail ou tout autre moyen, incitant l'utilisateur à
cliquer sur l'adresse d'un site internet généralement hébergé chez un hébergeur
gratuit.
Si l'utilisateur clique sur ce lien, la page web s'ouvre et un javascript
malicieux s'exécute à son insu:
exploitant une vulnérabilité connue du navigateur
Internet Explorer, il accède au carnet d'adresses de MSN Messenger et envoie automatiquement
à tous les correspondants une invitation à venir visiter le site piégé.
L'adresse
de ce site est variable, car ces sites sont fermés au fur et à mesure de leur
découverte, mais le code du virus est facilement modifiable et permet d'orienter
les utilisateurs vers d'autres sites piégés.
Il est donc impératif de combler
la faille utilisée par le virus pour se propager, en appliquant le correctif (voir
fiche complète). Compte tenu de ses caractéristiques, la propagation de Menger
devrait rester limitée, mais plusieurs cas ont déjà été signalés.
Voila l'adresse
ou vous pouvez telecharger le patch correctif contre Menger
VIRUS FRETHEM.E
Frethem.E est un virus
de mail qui se présente sous la forme d'un message
intitulé
Re: Your password! accompagné des fichiers
joints PASSWORD.TXT et DECRYPT-PASSWORD.EXE.
Le virus s'exécute automatiquement
à l'ouverture du mail ou lors de son affichage dans la fenêtre de
prévisualisation d'Outlook, si l'application n'a pas été
patchée contre une vulnérabilité MIME et IFRAME connue.
Si le fichier DECRYPT-PASSWORD.EXE est exécuté, le virus s'envoie
automatiquement à toutes les adresses emails présentes dans le carnet
d'adresses Windows et dans les messages des dossiers Outlook Express (.DBX) grâce
à son propre serveur SMTP.
Frethem.E n'est pas destructif, mais tente
de se connecter à plusieurs dizaines de sites web, probablement publicitaires.
Pour s'en préserver, il faut s'assurer être à jour dans
ses correctifs de sécurité et le cas échéant supprimer
le mail à son arrivée dans la boîte de réception sans
ouvrir le fichier joint.
http://www.secuser.com/alertes/2002/fretheme.htm
infecte
les fichiers exe et com
http://www.f-secure.com/v-descs/jerusale.shtml
Nemesis backdoor by PDedross - This is a crude
backdoor program called Nemesis.
It has all the basic functions such as screen
dump ect, but it is command line (there is attached a file called commands.txt
containing all of the commands) based
Iparmor
détectera et tuera à la fois les trojans connus ou non connus.
Cet utilitaire pratique rassemble beaucoup d'énergie ainsi qu'une base
de données comportant les virus connus, laquelle peut être mise à
jour quotidiennement.
Le programme possède plusieurs outils permettant
de vous protéger du tort que peut causer Internet.
Au démarrage,
il explore votre mémoire afin de déceler de l'activité provenant
de trojans et neutralise immédiatement n'importe quelle tâche suspecte
et rapporte sa trouvaille.
Vous pouvez restituer n'importe quel fichier critique
du
système au prochain redémarrage.
Iparmor vous permet
de visionner tous les processus actifs qui restent, d'explorer les ports couramment
actifs et effectue une liste des applications qui démarrent lorsque Windows
démarre.
http://timo.free.fr/gz/p/ipar539.zip
Telechargez
et executer le fix suivant pour le virus BugBear
Et voilà à nouveau un virus VBScript se propageant par Outlook et
malgré son homonymie avec la tennis-women de même nom, j'ai peur qu'il soit un
tantinet
moins agréable à regarder!
Page d'infos de CAI: sst_worm.htm
Page d'infos de Symantec: vbs.sst@mm.html
Page d'infos de NAI: virusSummary.asp?virus_k=99011
J'en profite au passage pour vous signaler la sortie d'un nouveau moteur 4140
(US uniquement, la vFR n'a pas bougé), en plus des signatures également remises
à jour (4121) aujourd'hui pour l'occasion. Cela dit, le virus est détecté sous
son petit nom initial (VBS/SST@MM ) dès les signatures 4092 avec moteur 4035.
Pour peu que vous mainteniez vos AV à jour, il n'y a aucune raison de s'inquiter...
Signalé en "High Risk", il convient toutefois pour les "têtes en l'air" de prendre
des mesures de prévention RAPIDEMENT...
D'autant que tous les éditeurs ont
des MAJ disponibles pour les signatures de leurs produits - pas d'excuses, donc.
Un nouveau virus VBScript s'est répandu largement de par le monde ces dernières
heures.
Il s'agit d'un ver qui se propage en utilisant le désormais traditionnel
carnet d'adresses d'Outlook.
Il se présente sous la forme d'un mail avec le
fichier attaché "Brazilian_Carnival.JPG.vbs".
Fort heureusement, à part saturer
les serveur de mails, ce virus est innofensif.
L'un des partenaires européens
de F-Secure à réussi à traquer le créateur du virus Anna Kournikova
Boulogne,
le 14 Février 2001 - F-Secure Corporation, innovateur mondialement reconnu pour
ses solutions de sécurité dans les environnements mobiles et distribués, annonce
que son partenaire suédois Atremo AB, a réussi à identifier le créateur du virus
Anna Kournikova.
La société a transmis l'information au FBI qui l'a trouvée
précise et cohérente. Atremo et F-Secure ont décidé de communiquer afin que le
public prenne conscience de ce genre de conduite irresponsable.
Atremo a pu
traquer le créateur de ce virus à travers les newsgroups, webforums et home pages.
Il a, en effet, utilisé plusieurs alias et adresses eMails ainsi qu'une signature
inhabituelle, ce qui a facilité sa traque.
Il a, de plus, utilisé une citation
d'IDC disant que:
" Les personnes utilisant Internet n'ont tiré aucune leçon
du virus I LOVE YOU."
" Ceci est peut-être vrai ", répond Risto Siilasmaa,
CEO de F-Secure, " Mais, on ne prouve pas à quelqu'un qu'il est mal protégé en
l'attaquant. L'activité
d'un très grand nombre de sites dans le monde a été
fortement ralentie par l'envoi massif d'eMails.
Certains en ont reçu des milliers.
Le résultat de cette conduite
irresponsable a été l'interruption de nombreux
serveurs, ce qui a conduit à une baisse de la productivité, à un ralentissement
des services clients, et
a provoqué d'autres dégâts encore inconnus à ce-jour."
Le créateur de ce virus a tenté de présenter des excuses en disant:
"Je n'ai
jamais voulu nuire à ce site (qui a hébergé le virus) " et "Je n'ai jamais voulu
nuire aux utilisateurs. Mais, après tout, c'est de leur faute s'ils ont été infectés
par le AnnaKournikova virus, OnTheFly ou je ne sais comment ils
l'appellent."
En qualifiant ce genre d'attitude de " téméraire ", Risto Siilasmaa explique que
le résultat met en avant le fait que de nombreux utilisateurs n'ont pas
pris
en compte les conseils donnés lors des précédentes attaques.
Ils n'ont, par
exemple, pas installé de produit anti-virus valable, ou n'ont pas désactivé
l'option permettant de lire les Visual Basic Scripts, la manière la plus simple
d'éviter ce genre de contamination.
"Les dangers causés par les virus sont
en lien directe avec la complaisance qui semble prévaloir aujourd'hui", ajoute-t-il.
F-Secure a mis en ligne sur son site internet une liste de 13 points capitaux
permettant d'éviter les contamination.
Ces conseils sont disponibles à l'adresse
suivante:
fsecure.com/news
CSRT Alert
VBS.Satanik.Child Vandal
Alias: Satanik
Threat Level:
Medium
Type: Script
Platforms: Windows 95/98/ME/NT/2000
Updated on:
14-February-2001
This is a VB Script vandal embedded inside HTML formatted
email.
It will execute upon opening in an email reader or even previewing
it.
It does not require to open a attachment. The arriving mail is plain looking,
with a red background and text message in large fonts.
The format of the mail
is as following:
Subject: for my sweetheart or I picked this one especially
for you my = Sweetheart!
Message Body:
I wanna f*** (censored by Aladdin)
you like an animal!
The vandal creates a files named Explorer32.VBS and Explorer.VBS
in the Windows\System folder and adds the following registry entries:
HKEY_LOCAl_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Explorer32.VBS
HKEY_LOCAl_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Explorer.VBS
This will execute it on the next restart.
It modifies the autoexec.bat file
and when the computer boots, it will search
for anti-virus programs by McAfee,
Norton, and F-Secure and delete them.
It will then show the following message
on the DOS screen:
SATANIK CHILD S A T A N I K C H I L D S A T A N I K = C
H I L D
A virus by Satanik Child has been detected! = Windows is destroyed!
(c)SC
Windows has not been destroyed, and can be started.
Next it will
search for mIRC chat software and will infect itself by infecting the mIRC mirc.ini
and script.ini scripts.
It will send itself to other people in chat rooms.
It will then continue and send itself to all the contacts in the address book.
The vandal will search for various file types:
vbs, vbe, mp3, mp2, wav, txt,
doc, log, bmp, gif, jpg, fla, js, html, swf, htm, wmf, png, avi, mid, zip, rar,pif,
pdf.
It will create a copy of itself with the same names of the files it found
and the added VBS extension.
It will then create a new file association to
the extension.dmk and associate it with VBS file type, so any file with the extension.dmk
will execute like a VBS file.
It will then create a new folder Windows\System\MSApp
and create a copy of itself with the name satanik.dmk.
This will be also repeated
in the root of every drive in the system.
It will also add a registry entry
so every time Windows starts it will go to a certain Web page on the Internet
and reboot afterwards.
BL/Simpson découvert le 28 juin 2000.
Il s'agit
d'une bombe logique utilisant des commandes MS/DOS pour tenter d'effacer tous
les fichiers présents sur les disques A:, B:, C:, et D:.
La commande employée
pour faire cette suppression n'est disponible que sur Windows 9X donc les systèmes
à base NT (Windows NT 4 & 2000) ne peut être affectés.
La bombe logique est
distribuée sous forme de fichier auto extractible.
W97M/Touchme découvert
le 27 juin.
Il s'agit d'un macro virus s'attaquant à Word 97/2000.
Ce
macro virus utilise les techniques standard pour infecter les documents Word,
il se sert du fichier EcHa stocker dans le dossier de démarrage d'office comme
d'un fichier temporaire lui permettant d'infecter d'autre fichier.
Ce fichier
est effacé AVEC TOUT LE CONTENU du répertoire a chaque nouvelle contamination
d'un fichier.
Si l'assistant est chargé, le virus lui fait affiché le message:
ReYoKh Team Labs mengucapkan
Selamat Ulang Tahun !!!
untuk ?????? bahagia
selalu
où ?????? peut être REZA, YOMBI ou NELIS.tous les 5 Mars, 8 Août et
22 Décembre.
Kriz, le virus qui peut empoisonner
votre Noël.
Découvert en août 1999 par les experts en virus informatiques,
Kriz est sûrement l'une des menaces les plus sérieuses, au moment des fêtes de
fin d'année, pour les machines de l'environnement Windows.
Ce virus, qui contamine
l'ordinateur après le lancement d'un fichier exécutable infecté, reste en sommeil
jusqu'au 25 décembre, date à laquelle il déclenche son processus de destruction.
Kriz, à l'image de son grand frère, le virus CIH (Tchernobyl), détruit tous les
fichiers situés sur les disques durs ainsi que sur les disquettes en place dans
le lecteur. Le virus inscrit
un fichier Krized.tt6 sur le disque dur de la
victime.
Il est aussi capable d'effacer les données contenues dans le CMOS,
qui contient notamment l'heure et la date du système. Enfin, sur certains types
de cartes mères, il tente d'altérer le Bios (en le flashant), ce qui rend par
la suite l'ordinateur inutilisable et nécessite un changement de carte mère (ou
au moins de la puce du Bios).
Heureusement le virus laisse une trace, il inscrit
un fichier Krized.tt6 sur le disque dur de la victime (C:\Windows\System) ce qui
permet de le repérer assez facilement.
La propagation de Kriz inquiète Les
éditeurs d'antivirus préconisent donc aux utilisateurs de scanner leur disque
dur avant le 25 décembre à l'aide d'un antivirus à jour, car à l'heure actuelle
tous les logiciels de ce type sont capables de détecter et d'éradiquer Kriz.
C'est maintenant la propagation de Kriz qui inquiète les experts. Jusqu'à présent
elle était lente et peu préoccupante, mais à la fois Trend Micro et Symantec,
deux grands éditeurs d'antivirus, ont détecté la présence de Kriz dans les virus-vers
Happy99 et Bymer qui eux se répandent très rapidement.
De plus en plus
de machines sont actuellement contaminées par le virus Bymer.
Ce ver ne s'attaque
qu'aux machines fonctionnant sous Windows.
Il possède une méthode de contamination
particulière: il teste de manière aléatoire un certain nombre d'adresses IP afin
de vérifier si l'option "partage de fichiers" est activée.
Si c'est le cas,
le virus se propage en modifiant le fichier WIN.INI ou la base de registre pour
être lancé au prochain redémarrage de Windows.
Il installera également le
logiciel DNETC qui permet de prendre le contrôle à distance d'une machine, ce
qui fait de ce virus un troyen.
Pour vous en protéger, il suffit de décocher
l'option de partage de fichiers dans le menu Réseau du panneau
de configuration.
Pour lire la description exacte du virus, cliquez ici
Sophos Anti-Virus reporte l'arrivée du virus VBS/Sheep-A. Le virus arrive
sous la forme d'un fichier nommé:
CounterstrikeRP.TXT [une centaine d'espace].vbs
Le fait de placer une centaine d'espace avant l'extension.vbs permet de cacher
le fait qu'il s'agisse d'un script Visual Basic.
Le virus modifie mIRC afin
de se propager.
Quand il s'exécute, le fichier se copie lui-même aux emplacements
suivants:
c:\WINDOWS\system\RP.TXT.vbs
c:\WINDOWS\Start Menu\Programs\StartUp\Startup§.vbs
Son seul effet connu est de mettre les 1er, 5, 10, 15, 20 et 25 du mois le fichier
CounterStrikeRP.BMP en guise de papier peint.
Une nouvelle version du
virus Kak vient d'être découverte.
Ce virus qui affecte les utilisateurs des
messageries Outlook aurait été repéré sous la forme de "Wscript/Kak.B", une variante
de sa forme traditionnelle Kak.A.
Ce ver qui se transmet d'e-mail en e-mail,
présente le risque d'interrompre une machine et la rendre inutilisable pendant
un jour entier. Celui-ci exploite une faille du navigateur Internet Explorer.
Remède: mise à jour du navigateur à q240308.exe
Sonic, un ver-troyen qui met à mal les antivirus
La plupart des éditeurs d'antivirus ont annoncé le 30 octobre l'apparition d'un
nouveau virus d'origine européenne et nommé Sonic. Il s'agit en fait d'un ver
informatique (virus autorépliquant), qui contamine les systèmes fonctionnant sous
Windows (9x, 2000 et NT) et dont le fonctionnement pourrait être comparé au fameux
ver QAZ, responsable notamment de l'intrusion chez Microsoft.
« Choose your
poison »
Il se propage via un courrier électronique ayant pour sujet "Choose
your poison", auquel est attaché un fichier exécutable (girls.exe ou lovers.exe)
qui, une
fois lancé, s'installe dans la base de registre de Windows et s'autocopie
sur le disque dur de la victime sous le nom GDI32.EXE.
Ainsi installé, le
ver ouvre une backdoor, ou porte dérobée (port 1973), qui permet à ses auteurs
de prendre le contrôle de la machine infectée (copie ou suppression de fichiers.).
De plus, Sonic se connecte de façon invisible sur les sites internet de ses auteurs
(hébergés chez Geocities d'après l'éditeur d'antivirus Kapersky Lab)
afin
de se mettre à jour régulièrement.
Un ver qui se met à jour automatiquement
La particularité de Sonic réside dans le fait qu'il est capable par ces connexions
d'effectuer ses mises à jour automatiquement et donc d'avoir une longueur d'avance
sur les éditeurs d'antivirus.
Cela explique aussi l'existence de plusieurs
variantes.
À l'heure actuelle, très peu d'antivirus détectent ce ver car les
techniques de camouflage évoluent et sont de plus en plus performantes. Il faut
donc rester
extrêmement vigilant et notamment éviter d'exécuter les fichiers
attachés dont la source n'est pas sûre.
Symptômes
Par ailleurs différents
symptômes peuvent traduire une contamination par Sonic.
Tout particulièrement
l'existence du fichier GDI32.EXE dans le répertoire
C:\Windows\System\
ainsi qu'une entrée dans la base de registre à l'adresse:
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run/
" GDI ":
C:\Windows\System\GDI32.exe
Pour l'éradiquer manuellement, il
suffit alors de supprimer la clé dans la base de registre puis, après avoir relancé
l'ordinateur, de supprimer le fichier GDI32.EXE.
Enfin, comme QAZ, Sonic se
propage en s'auto-envoyant à tous les contacts situés dans le répertoires Outlook
de la machine infectée.
Néanmoins la survie de Sonic, liée aux sites des auteurs,
est limitée, car ces sites devraient être fermés par leur hébergeur. À moins qu'une
nouvelle variante n'envisage ce cas de figure.
Communiqué par Secusys
(SecuBar)
Nos partenaires Panda Software nous alertent sur l'apparition d'un
nouveau Virus_Ver - VBS/Forgotten.a@mm
Il est quasi-semblable à Bubbleboy
et à Kakworm, mais emploie des techniques "Sociale Engeenering" pour encourager
les utilisateurs à ouvrir les messages porteurs de virus, avec des en-têtes tels
que "Finances".
Ce Virus_Ver se lance à l'ouverture de l'email et non par
obligation à l'ouverture du fichier attaché.
Plus d'information sur le site
de Panda Software.
La société Secusys vient de nous informer qu'un virus nommé Win32/Navidad
venait d'atteindre l'Europe.
S'il ne pose aucun problème de détection aux
éditeurs d'antivirus, il n'en sera pas de même aux utilisateurs qui auront été
infectés faute de mise à jour.
Rappelons que ce ver innove en introduisant
un bug volontaire dans Windows, rendant les fichiers.exe non utilisables par l'utilisateur.
Dans la foulée un nouveau ver, qui a déjà au moins 4 petits frères souches, risque
d'ici quelques jours de faire parler de lui.
Cette cochonnerie a été inventée
par le créateur du virus "zoo".
Pour rappel, le virus Zoo n'était qu'à but
expérimental.
Cette fois, le dernier-né de la famille semble avoir été mûri
pour être destructeur et surtout invisible. Ce ver se répand via les Emails, le
hic est qu'il code ses informations, en 128 bits, en utilisant une clé RSA.
Chaque variante du virus a ses propres plug in cryptés et en télécharge sur un
serveur.
Secusys explique que "Le problème est que l'on ignore tout de ces
plugs in tant que l'on a pas la clé.
D'après les discussions qui ont lieu
depuis plusieurs semaines à propos de ce virus, il ressort que la fameuse clé
est prévue se trouver dans le virus lui-même, dans un fichier quelconque du PC,
dans la base des registres ou même sur un serveur distant. Le ou les futurs virus
peuvent à tout moment décrypter ces plug in et ainsi évoluer, créer des troyens
inconnus...". zataz
Un virus en PHP, ça nous manquait. L'éditeur de virus Symantec vient de découvrir
une nouvelle bestiole qui profite du langage PHP et qui n'infecte qu'eux d'ailleurs.
Ce virus n'a pas de charge de destruction et se contente de reproduire.
17 novembre 2000 Hybris, un virus complexe prêt à toucher l'Europe Découvert fin
septembre, mais ignoré à l'époque par les principaux éditeurs d'antivirus, une
bestiole nommée Hybris affole tout à coup ces mêmes spécialistes.
Alerte russe
Parmi les premiers à tirer la sonnette d'arlame, la société russe Kaspersky Lab,
qui a publié une alerte le 13 novembre à la suite de plaintes de ses clients contaminés
par Hybris.
«Ce à quoi nous avons affaire est sûrement le plus complexe et
le plus subtil des virus écrits à ce jour », a expliqué son patron Eugène Kaspersky.
Pour d'autres spécialistes des virus interrogés par nos confrères américains de
ZDNN, la complexité d'un code n'est pas forcément signe d'une extrême dangerosité.
Aucun cas d'infection fatale n'a encore été rapporté.
On sait juste qu'après
avoir sévi en Amérique latine, ce virus, dont on compte aujourd'hui cinq variantes,
commence à toucher l'Europe, sans plus d'information.
Un fichier.exe, transmis
par courrier Hybris se répand par un fichier (à extension.exe) attaché à un courrier
dont le sujet et le texte sont définis de façon aléatoire. Par la suite, c'est
l'exécution
de ce fichier qui déclenche l'installation du virus au sein des
systèmes fonctionnant sous l'inévitable Windows.
Le fonctionnement d'Hybris
est sensiblement identique à celui du virus MTX (voir notre actualité du 10/10/2000):
il infecte d'abord le fichier WSOCK32.DLL en y inscrivant son code afin de contrôler
les connexions internet et d'intercepter toutes les données concernant les messages
transitant sur la machine infectée.
Une fois les adresses e-mail ainsi obtenues,
il s'auto-envoie à tous les correspondants.
Une méchante bête, auto-perfectible.
L'originalité d'Hybris réside dans le fait qu'il est capable de se mettre à jour
et de se perfectionner grâce à la technique des plug-in. Ces modules, qui servent
la plupart du temps à améliorer les performances des navigateurs web, sont aussi
utilisés par certains programmes "cheval de Troie".
Il est de plus difficile
de détecter la présence d'Hybris, qui utilise apparemment des procédés de chiffrement
très performants afin de se dissimuler sur la machine qu'il a infectée. AVP ou
McAfee ont publié quelques descriptions de ce virus.
Vigilance
À l'heure
actuelle, les différents éditeurs d'antivirus n'ont pas tous été en mesure de
diffuser des parades.
Pire, ces spécialistes craignent que le virus ait déjà
muté lorsque leurs répliques seront disponibles.
La seule solution réellement
efficace reste une vigilance extrême vis-à-vis des fichiers attachés(surtout les
exécutables).
W97M/Gamlet.A et W97M/Nosn.A.
Ces
deux virus de macros qui appartiennent à la famille W97M, infectent les documents
de Microsoft Word 97, ainsi que le modèle de document global NORMAL.dot utilisé
par cette application. >Entre autres effets destructeurs, W97M/Gamlet.A désactive
les options macros dans Word, affiche un message dans la barre d'état de Microsoft
Word et installe une animation qui ne se manifeste que lorsque l'option macros
» est sélectionnée dans le menu « Outils ».
Loin d être insignifiant, W97M/Nosn.A
contient le code nécessaire pour s'auto-envoyer, par e-mail, dans un message contenant
un document Word précédemment infecté.
A l'instar de la plupart des virus
de macros qui infectent Microsoft Word, W97M/Nosn.A désactive la protection antivirus
des documents Word dotés de macros.
De ce fait, lorsqu un document Word contenant
des macros est ouvert, la boîte de dialogue qui permet aux utilisateurs d activer
ou de désactiver les macros définies dans un document, ne sera pas affichée.
Qui
plus est, outre empêcher les utilisateurs de convertir des fichiers (lors de l
ouverture d'un document ou d un modèle qui ne se trouve pas dans Word), W97M/Nosn.A
sauvegarde automatiquement les changements qu il apporte au modèle de document
global NORMAL.dot.
La charge destructive de ce virus consiste à afficher un
certain nombre de fenêtres comportant un texte ou à insérer une adresse Internet
ou un message de protestation dans le document Trojan/Ocnap.
Il s agit d un
cheval de Troie qui ressemble en tout point à un fichier d'installation de programme,
sauf qu il permet un accès externe à d'autres ordinateurs.
Lorsqu il est exécuté,
Trojan/Ocnap s'installe dans le Répertoire Windows et ajoute deux lignes au début
fichier système WIN.ini, afin qu être sûr d être activé chaque fois que le système
est démarré I-Worm.
WinExt se répand via Internet sous la forme d un fichier
attaché nommé TRYLT.exe.
Lorsque ce fichier est exécuté, un message d'erreur
s'affiche pour distraire l'utilisateur pendant que le ver infecte l'ordinateur.
Du 11 au 31 juillet, I-Worm.WinExt envoie des voeux de bon anniversaire - composés
de textes choisis au hasard à l'adresse e-mail suivante:
nathalie.paget@francetelecom.fr
W32/Navidad reste résidant et s affiche comme un procédé bien visible dans
la liste des tâches actives.
Il modifie plusieurs entrées de registres afin
d empêcher l'xécution de fichiers EXE dans le système.
Pour se diffuser, W32/Navidad
envoie des messages aux expéditeurs des messages non lus qui se trouvent dans
la boîte de réception.
Chacun d eux inclura un fichier attaché contenant le
ver.
I-Worm/Verona arrive par le biais d un message e-mail contenant
deux fichiers attachés appelés « Myjuliet.Chm » et « Myromeo.Exe ». L'objectif
du code du ver est d ouvrir le carnet d'adresses de la messagerie et d'envoyer
à chaque adresse, un message incluant les fichiers reçus.
W32/Hybris
envoie, avec chaque courrier électronique partant de l'ordinateur infecté, un
message qui inclut une copie de lui-même. Outre cela, il « corrige » la bibliothèque
WSOCK32.dll afin de contrôler les messages e-mails sortants.
Un
virus nommé Lara se proméne sur la toile.
Même si ce virus n'est pas
dangereux, il peut cependant vous pourrir la vie si vous n'y pretez pas garde.
Il se propage via Email, classique. Vous recevez un email vous proposant de télécharger,
sur le site officiel de Eidos, un fond d'écran au couleur de Lara Croft.
Si
vous avez le malheur de succomber au charme de la dame et que vous cliquiez sur
le fichier joint, une fenetre va s'ouvrir, vous expliquant que vous pouvez poser
vos questions sur le site de Eidos et que vous pouvez maintenant envoyer cet E-mail
à vos amis. Le virus va s'inscrire dans la base de registre: HKEY_LOCAL_MACHINE\Software\LaraCroft
- HKEY_LOCAL_MACHINE\Software\LaraCroft\Install
et crée la valeur principale:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\LaraWallpaper=%InstallPath%\Filename.exe
(IE LaraWallpaper=C:\Windows\Desktop\LaraCroft.exe)
Le virus va ensuite s'auto-envoyer
à vos correspondants et pourrir vos fichier en.exe.
Dans la serie nouveauté,
on peut aussi noter l'apparition d'un ver nommé BleBla.b@MM .
Il utilise un
exploit d'I-Frame dans le HTML afin de s'exécuter et se reproduire.
Il est
écrit en Delphi et compressé avec UPX.
Un Macro virus, nommé Afeto.A@MM .
Classique, il joue avec Word 97 et 2000.
On termine avec les news virus
par un pauvre Trojan nommé BackDoor-JD.
un nouveau
virus écrit en Visual Basic Script.
Celui-ci arrive sous la forme d'un
fichier attaché nommé "happynewyear.txt.vbs" et lié à un courrier électronique
dont le sujet est 'New Year' !' et le contenu 'Wow Happy New Year!'.
Il pollue
également l'ordinateur avec le cheval de Troie Troj/Downloader.
Comme beaucoup
de ses congénères, il se propage en utilisant le carnet d'adresse des utilisateurs
d'Outlook. vous êtes protégé si vous avez un patch anti VBS/SHS ou Scriptrap
par exemple
Intercepte 11 Script potentiellement dangereux et donne le
choix entre refuser, passer au scanner avant d'exécuter et toujours autoriser
pour les scripts connus (dans macro d'Excel ou d'accès par exemple) le plus complet.
Configurable pour tous les programmes ou uniquement outlook Scriptrap
Même sv mais seulement pour VBS etSHS:
secusys.com/laboratoire.htm#outils
Un nouveau macro-virus a été découvert
par l'éditeur Sophos Antivirus.
Baptisé Chronic-A, ce dernier est lié aux
fonctions macros du logiciel Word 97 de Microsoft.
Il s'exécute sur des machines
contenant les systèmes d'exploitation Windows 95 ou 98.
Il utilise une technologie
de contamination très complexe, qui se base sur l'horloge de l' ordinateur.
Chronic-A est capable de modifier le nom des fichiers Word qui se trouvent dans
le disque dur, en ajoutant une ligne de caractères toujours identique (Karachi_y2k7),
ce qui a pour conséquence le changement de la date de création du fichier.
Chose
plus grave, le virus peut aussi créer un mot de passe d'accès au fichier Word
en cours, et interdire alors son visionnage ultérieur (Sophos propose le code
suivant pour ouvrir le fichier: 1297307460).
Autre ennui:
le virus installe
le cheval de Troie « Kill CMOS-E » dans le fichier de démarrage c:WindowsWIN.COM,
si
la date est divisible par 4 ou 6. Ce « cheval » est capable de modifier
des fichiers, et de brouiller les fonctions d'horloge de Windows. le 18/01/01
source
Technologie
HTML/Little Davinia, un nouveau ver très ravageur. Source: pandasoftware.com
HTML/LittleDavinia, un nouveau ver plus ravageur encore que ses prédécesseurs,
qui se diffuse via Internet et qui élimine toutes les données des disques durs
auxquels il accède.
N'affectant que les utilisateurs qui ont Word 2000 installé
sur leur machine, HTML/LittleDavinia est un ver de HTML, de VBS, d'e-mail et de
macros, programmé en Espagne par un auteur de virus qui utilise la signature
Onel 2 (l'auteur de VBS/Loveletter employait le nom de Onel de Guzmán).
Le
message électronique par lequel HTML/LittleDavinia se diffuse est doté des caractéristiques
suivantes:
Objet: Cet espace est laissé blanc pour que le message électronique
semble n'avoir aucun objet.
Corps de texte: Le corps du message contient le
code du virus HTML.
HTML/LittleDavinia se déclenche lorsque l'utilisateur
navigue sur Internet et télécharge involontairement un document qui s'ouvre ensuite
automatiquement.
Ce fichier, sauvegardé sous le nom de littledavinia.vbs dans
le répertoire Windows System, envoie un message électronique à toutes les entrées
du carnet d'adresses de l'utilisateur.
Dans le corps du texte, le virus insère
le code HTML, puis connecte l'utilisateur à la page web qui agit alors comme un
pôle d'attraction pour la propagation du ver.
Une fois que le registre Windows
a été modifié dans l'ordinateur de la victime, le virus recherche tous les disques
durs accessibles, tous les lecteurs logiques de réseau possibles et tous les répertoires
pour n'importe quel fichier, et les réécrit avec un code HTML qui affiche continuellement
une fenêtre contenant un message d'amour.
Résultat: toutes les informations
écrites sur le disque dur sont irrémédiablement perdues.
Commentaire Securys:
D'après les experts du monde entier HTML/Little Davinia ne pose aucun problème
puisque aucun "report" formel n'a encore été constaté.
Il semble que ce soit
un "zoo" virus.
A tel point que la plupart des éditeurs d'antivirus ne l'ont
toujours pas mis dans leur base virale, à cause de la grande difficulté d'en trouver
un exemplaire fonctionnel, aucun client ne s'étant manifesté.
27/02/01
- Un nouveau dérivé de VBS/Kakworm
Sophos Anti-Virus a détecté un
nouveau virus VBS/Kakworm-Z qui est une variante du ver VBS/Kakworm.
Ce ver
ne fonctionne que sur les postes de travail où Internet
Explorer, Outlook
ou Outlook Express est installé.
Le virus se propage par l'intermédiaire d'un
courrier électronique en tant que signature HTML.
Le destinataire du message
ne verra pas de symptômes visibles du virus.
Si l'utilisateur ouvre le message,
le virus placera le fichier BAP.HTA dans répertoire de démarrage de Windows.
BAP.HTA s'exécutera donc au prochain démarrage de windows, créera le fichier C:\WINDOWS\BAP.HTM
et modifiera les paramètres d'Outlook Express pour inclure
BAP.HTM dans chaque
message envoyé.
BAP.HTA change également le registre de Windows afin d'être
executé pour changer la page d'accueil d'Internet Explorer
et la faire pointer
vers www.ignifuge.com.
Pour information, www.ignifuge.com est un site web
promotionnel qui récompense ses membres, s'ils perduadent leurs
proches de
visiter le site.
Il est donc conseillé de mettre à jour vos anti-virus même
si certains détecteront VBS/Kakworm-Z en tant que VBS/Kakworm
07/03/01
- Virus W32/Naked
Ce nouveau virus se comporte comme un worm, le potentiel
de destruction est important, il se répand sous la forme d'un e-mail dont le sujet
est "FW: Naked Wife". NAKEDWIFE est un ver déguisé sous la forme d'une animation
flash.
Lorsque le fichier attaché NAKEDWIFE.EXE est lancé, celui se propage
auprès de tous les contacts du logiciel de messagerie Outlook. Ensuite, le virus
détruit tous
les fichiers ayant les extensions DLL, INI, EXE, BMP et COM du
répertpoire Windows.
Pendant ce temps, le programme affiche une fenêtre de
chargement à l'utilisateur.
D'après certains spécialistes d'antivirus (Trend,
Symantec), de nombreuses compagnies U.S. seraient contaminées, y compris des administrations
américaines.
Certaines sources affirment que le virus aurait commencé à se
répandre depuis les ordinateurs de l'armée américaine.
Cliquer sur les liens
ci-dessous pour voir les captures d'écran du virus:
Image
Mail infecté
Image
NAKEDWIFE.EXE
Image
NAKEDWIFE.EXE 2
A éviter impérativement
W32/Magistr@mm est le digne successeur de Win95.CIH.
Ceux qui se souviennent
des dégâts provoqués par ce dernier tremblent à l'idée qu'il ait un petit frère.
Se propageant par e-mail, il est écrit en assembleur et s'attaque:
-aux fichiers
exécutables
-aux disques durs
-au Bios
-à la mémoire CMOS.
A éviter
impérativement! De quoi réellement "flinguer" une machine en quelques semaines...
Mettez à jour vos anti-virus et évitez d'ouvrir les fichiers exécutables envoyés
par messagerie électronique.
toujours utile et en français
pages.infinit.net
VBS/GWV.a découvert le 31 mai 2000.
Il s'agit d'un virus écrit en Visual
Basic Script. Plus d'informations prochainement.
VBS/Fireburn.worm découvert
le 30 mai 2000.
Il s'agit d'un virus écrit en Visual Basic Script qui utilise
comme vecteur de propagation le courrier électronique et l'IRC.
Ce virus (à
mon avis d'origine Allemande) arrive par courrier électronique en anglais ou en
allemand (ci l'expéditeur du message a un système allemand le message est envoyé
en allemand sinon il est envoyé en anglais).
Devant la recrudescence
des alertes (trous de sécurité, virus...etc) en tous genres, Alain LOUBERT a créé
sur son site WEB une section centralisant en un même endroit un ensemble de ressources
qu'il faut généralement consulter de façon décousue.
Le menu "Alertes" du
menu général permet ainsi d'accéder directement aux pages de diffusion des alertes
de CAI (InoculateIT), McAfee/NAI (VirusScan/NetShield...etc) et Symantec (NAV),
mais également aux encyclopédies de virus et hoaxes de ces mêmes éditeurs.
Il a également mis un lien direct vers la liste des bulletins de sécurité de Microsoft.
Maintenant, plus d'excuses pour ne pas être au courant, sous prétexte qu'on ne
sait pas où chercher!.
www.l2i-consulting.com
W32.Badtrans.B. www.journaldugratuit.com
W32.Badtrans.B est un dangereux virus qui se propage par e-mail grâce aux logiciels
de messagerie Outlook et d'Outlook Express.
VIRUS MYPARTY
Myparty
est un virus de mail qui se présente sous la forme d'un message intitulé "new
photos from my party!", dont le contenu est "Hello! My party...
It was absolutely
amazing! I have attached my web page with new photos!
If you can please make
color prints of my photos. Thanks!", accompagné d'un fichier joint nommé www.myparty.yahoo.com.
Si ce fichier est exécuté, le virus extrait les adresses emails contenues dans
le carnet d'adresses Windows et les dossiers Outlook Express (fichiers.DBX) puis
s'envoie automatiquement à chaque correspondant via son propre serveur SMTP.
A ajouter dans vos regles de message: Quand le message contient
LIEN UTILE:
ANTIVIRUS a jour gratuit en ligne depuis le site SoSWindows.
Un nouveau
virus fait son apparition il se nomme VIRUS KLEZ.E.
Virus Klez.E se présente
sous la forme d'un message dont le titre, le corps et le nom du fichier attaché
sont ALEATOIRES.
Ce dernier a une extension en.EXE,.PIF,.COM,.BAT,.SCR ou.RAR,
mais l'extention visible peut sembler inoffensive (.WAV ou.MID) car le virus falsifie
l'entête du message.
Avec Outlook, la pièce jointe est ainsi invisible.
Le virus s'exécute automatiquement à l'ouverture du mail ou lors de son affichage
dans la fenêtre de prévisualisation d'Outlook, si l'application n'a pas été patchée
contre une vulnérabilité MIME connue.
Si le fichier joint est exécuté, le
virus se copie sur le disque sous le nom WINK*.EXE (où * est une chaîne de caractères
aléatoire), modifie la base de registres pour s'exécuter automatiquement au prochain
démarrage, puis copie et exécute le fichier WQK.EXE correspondant au virus ElKern.
Klez.E extrait les adresses emails contenues dans les carnets d'adresses Windows
et ICQ pour s'y envoyer automatiquement, en utilisant une fausse adresse d'expéditeur
piochée dans une liste pré-établie Klez.E se propage le cas échéant via les dossiers
partagés, puis désactive et tente d'éliminer certains antivirus et firewalls,
en supprimant les clés de base de registres et répertoires correspondants.
Pour s'en préserver, il faut s'assurer être à jour dans ses correctifs sécurité
et supprimer le mail dès son arrivée dans la boîte de réception.
Un utilitaire
de désinfection est disponible pour rechercher et éliminer les variantes Klez.A,
Klez.B, Klez.C et Klez.E.Disponible sur le site SoSWindows section Anti-Virus
Site de l'optimisation www.soswindows.net
Yarner est un virus de mail qui se présente sous la forme d'un message intitulé
"Trojaner-Info Newsletter [date du jour]" accompagné d'un fichier joint nommé
YAWSETUP.EXE (437 Ko), se faisant passer pour une alerte accompagnée d'un outil
antivirus.
Le corps du message est rédigé en allemand (voir fiche complète).
Si le fichier attaché est exécuté, le virus se copie sur le disque, puis modifie
la base de registres afin d'être exécuté à chaque démarrage de l'ordinateur.
Il s'envoie ensuite automatiquement à tous les correspondants présents dans le
carnet d'adresses Outlook, ainsi qu'aux adresses email trouvées dans les fichiers.PHP,.HTM,.SHTM,.CGI,.PL
du répertoire Windows, grâce à une liste prédéterminée de serveurs SMTP.
Ce
virus est hautement destructif: dans un cas sur dix, il supprime tous les fichiers
présents sur le disque dur.
Pour s'en préserver, suffit de supprimer le mail
dès son arrivée dans la boîte de réception.
www.secuser.com
Central Command annonce la découverte de I-Worm.LogoLogic.A,
le premier virus au monde à utiliser le langage de programmation LOGO.
Edité par Logotron, ce langage est aujourd'hui très utilisé
dans les applications pour enfant explique Steve Sundermeier, Product Manager
de Central Command.
Détails techniques :
I-Worm.LogoLogic.A
fonctionne essentiellement sur des plates-formes Microsoft Windows 95 et 98 ayant
une installation par défaut, ainsi que via mIRC.
Il infecte ces répertoires
:
> "C:\Windows"
> "C:\Program Files"
>
"C:\MIRC" (defaut) ou "D:\MIRC" ou "E:\MIRC" s'ils
existent. Le virus à quand même besoin de l'interpréteur de
SuperLOGO pour s'installer.
Lors de son exécution, le virus écrase
le fichier C:\MIRC\SCRIPT.INI avec un petit script IRC (logic.lgp).
Le script
permet seulement de joindre le Channel #gigavirii et annonce l'infection en envoyant
ce message précis au Channel : "Livin' a Lie"
"Livin'
a lie, tell me why I run and hide. Livin' a lie, you'll
never know me deep
inside."
Après l'infection de mIRC, le virus copie des fichiers
dans le menu de démarrage de Windows (C:\Windows\StartMenu\Programs\Startup\startup.vbs)
Le fichier startup.vbs qui se lance au démarrage permet d'envoyer un email
aux 80 premières adresses électroniques dans Microsoft Outlook et
Outlook Express, avec ce message :
Subject: Hey friends!
Message: Hello!
Look at my new SuperLogo program! Isn't it cool?
Attachment: logic.lgp
Enfin il modifie le Winstart.bat (C:\Windows\WINSTART.BAT) et affiche ce message
: "You think Logo worms don't exist? Think again!"
Si vous avez
installé un détecteur de scripts malicieux (scriptrap ou autre)
vous êtes protégé.
Deux nouveaux
virus écrit en Visual Basic Script, le vbs. Le premier se nomme Voodoo,
il infecte les fichiers .html, .htm, et .htt.
Pour vous rassurer,
jeter un oil dans votre base de registre et regardez si vous y voyez :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\0\1201 et HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet
settings\Zones\0\1201
Le virus se planque dans l'un de ses répertoires
:
C:\
C:\Windows\Desktop
C:\Windows\Web
C:\Windows\Web\Wallpaper
C:\Windows\Help
C:\Windows\Temp
C:\My Documents
C:\Program Files\Microsoft
Office\Office\Headers
C:\Program Files\Internet Explorer\Connection Wizard
C:\Inetpub\wwwroot
Il modifié le graphisme de votre poubelle Windows
et pourrie la vie de vos correspondants. Classique !
L'autre microbe vbs de
ce jour, IEUnsecure. Même punition, mais ce dernier enlève la protection
que propose microsoft.
Le virus met au plus bas la configuration sécurité
d'Internet Explorer.
Un nouveau virus : Iraq
Oil.
Il arrive en fichier joint sous le nom de Iraq_oil.exe.
La
bestiole a été détectée car elle a une facheuse tendance
à jouer avec le port 445 des ordinateurs infectés.
Ce port
est associé au protocole de réseau de Microsoft employé sous
Windows 2000 et XP.
Pour corriger la faille IPC en "null session"
Allez à la clé HKEY_LOCAL_MACHINESYSTEM\CurrentControlSet\Control\LSA
Restrict Anonymous mettre la valeur 2
Une autre méthode, déjà signalée dans les tips sur
www.optimix.be.tf
est de désactiver
l'écoute sur le port 445 :
Ajouter la valeur suivante dans la base
de registres :
Clé : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters
Valeur : SmbDeviceEnabled
Type : DWORD value
(REG_DWORD)
Contenu : 0 (pour désactiver)
Suite a l'execution d'un virus (backdoor.optix) ,
j'ai le fichier wmmiexe.exe de windows qui a été effacé .
Ce fichier sert a l'execution des applications , et sans lui ,je ne peux
plus ouvrir aucun programme !
Si vous n'avez plus se dossier c'est
qu'il a été mis soit en quarantaine soit supprimé par votre
antivirus.
En complement pour ce virus vous pouvez lancer ce petit
utilitaire pour bien nettoyer la base des registres.
Ensuite le plus simple
est de faire une reinstallation de Windows,car ce virus infecte beaucoup trop
d'exe present sur votre machine.
Win32hllp.de troie
C'est probablement une variante de W32.lamin
A cette adresse des utilitaires pour éradiquer le " win32
"
Adresses utiles
www.anticrash.net/index.php
chris33140.free.fr/conduiteatenir.htm
www.secusys.com/index.htm
www.virusinfos.net
www.securitoo.com
www.antivirus-fr.com/
Voici l'adresse pour éradiquer le virus
W32.Klez.E@mm
Désinfection en ligne
voir ce site
et essayer l'active scan en n'oubliant pas de cocher les cases desinfect auto
etc.
Un petit antivirus sur disquette en mode DOS
s'il vous plait ?
le plus performant et gratuit est surement FPROT
mais la version gratuite est trops grande pour tenir sur une seule disquette.
L'astuce est de le placer sur un disque dur externe ou de graver un cdrom
après avoir rechercher les derniers fichiers de signature et de lancer
un démarrage sur disquette (avec pilotes pour le lecteur cdrom).
Pour
info, mon dossier fp312, du mois de juin, contenant l'antivirus sous ms-dos fait
2,18Mo.
FProt
F-Secure
Update Virus Data
Mise
à jour automatique des fichiers de F-Prot pour Dos
Pour
ceux qui serait infecté par Frethem ou pour
vérification, un fix est dispo
ici
mon pt'it edonkey a ramassé un fichier
temp ou kaspersky a trouvé un virus de type:"mail bomb" et le
kaspersky n' arrive pas à m'en débarasser.
p.s :pour l'instant
ce virus reste cantonné dans ce fichier temp mais pas possible de le bouger
ou renommer..
A cette adresse
c'est gratuit et très puissant
Nod32
antivirus pour dos
A essayer.
Inoculate
iT est un programme anciennement Freeware fabriqué
par Computer Associates.
Il s'appelle aujourd'hui my-etrust.
Téléchargez la version freeware ainsi que les dernières mises-à-jour.
procédure Téléchargez le programme principal et installez-le.
Téléchargez ensuite la dernière mise-à-jour (aup_2164.exe).
note : version windows uniquement. attention, inoculateIT PE ne fonctionne pas
correctement sous Windows XP.
Opaserv
est un virus qui se propage via les dossiers partagés.
Il se copie
dans le répertoire Windows sous le nom SCRSVR.EXE puis modifie la base
de registres afin d'être exécuté à chaque démarrage
du système.
Opaserv tente de se propager aux autres ordinateurs du
réseau en se copiant dans les dossiers laissés en partage ouvert.
Il tente enfin d'accéder à une URL distante pour se mettre à
jour, mais le site semble avoir été fermé.
Si
vous voyez deux fois winlogon.exe dans les process (CTRL-ALT-DEL), vous
avez un trojan.
Pour le supprimer, enlever la clé correspondant à
c:\winlogon.exe dans la base de registres.
Redémarrez le pc et effacez
le fichier c:\winlogon.exe.
