W 32 Winux
- Agit aussi dans Linux
|
Nouveau virus découvert le 1er Mai 2001(eh oui, il
y en a qui ne font pas le pont !!), est
désigné comme le premier virus multi-plateformes.
Il se propage par reproduction dans les fichiers exécutables
Windows (sous 95/98/Millenium/2000) mais aussi parmi les
exécutables Linux au format Elf
Action
et propagation de W32 Winux
Son objectif majeur et unique
à proprement dit est de se répandre sans infecter
outre mesure par des agissements néfastes à votre
machine. Mais prudence est.....(vous connaissez la suite)
NB: les auteurs de ce
virus précisent qu'il est distribué sous licence
GPL, c'est à dire Source libre (un comble, non ??)
Pour en savoir plus sur les virus, cliquez
ici puis allez sur rubrique 'Virus Info'
AntiKournikova
- Vbs / On the Fly
|
Voici un Script
(1 Ko), l'antidote
qui vous tirera de situation délicate pour ceux qui pourrait
encore voir arriver sur leur Pc le Ver "Kournikova"
Vbs / On the Fly .
Pour lancer le Script,
rien de plus simple - Dézipper le fichier Zip, cliquez sur
le fichier Kournikova.jsp et suivez les instructions à
l'écran
Il frappe depuis la Mi-Juillet
2001 et continue à faire des victimes :
Ce ver arrive comme un message
d'email dans votre messagerie avec le contenu suivant:
Objet : Le sujet de l'email sera
aléatoire, et sera identique au nom de fichier joint.
Fichier joint : Le fichier joint est un
dossier pris à partir de l'ordinateur de
l'expéditeur et aura bat, com, lnk ou pif comme extension.
Message : Le corps du message sera
semi-arbitraire, mais contiendra toujours une des deux lignes suivantes
(anglais ou espagnol) comme premières et
dernières phrases du message.
Version
espagnole :
Première ligne : Hola como estas ?
Dernière ligne : Nos vemos
pronto, gracias.
Version anglaise :
Première ligne : Hi! How are you?
Dernière ligne : See you later.
Thanks
Entre ces deux phrases, une partie
du texte suivant peut apparaître :
Version
espagnole :
Te mando este archivo para que me des tu punto de vista
Espero me puedas ayudar con el archivo que te mando
Espero te guste este archivo que te mando
Este es el archivo con la informacion que me pediste
Version anglaise :
I send you this file in order to have your advice
I hope you can help me with this file that I send
I hope you like the file that I sendo you
This is the file with the information that you ask for
EN AUCUN
CAS, N'OUVREZ LE FICHIER JOINT - ET SUPPRIMER IMMEDIATEMENT CE MAIL DE
VOTRE MESSAGERIE
Si malgré tout
cela, vous êtes passé à coté
ou vous avez fait une mauvais manipulation et avez ouvert par erreur le
fichier joint, cliquez
sur ce lien pour télécharger l'antidote
Pour en savoir plus sur
W32.Sircam.Worm@mm , cliquez
ici
Apost (concerne uniquement les utilisateurs
d'Outlook)
|
Ce virus apparu début
Septembre 2001, se transmet par les messageries Outlook
grâce à une pièce jointe qui se nomme readme.exe.
Les
éditeurs ne le classent pas dans les virus très
dangereux (à voir...) mais sans être destructeur,
il est très gênant et se propage très
rapidement.
Le virus est inclus dans un e-mail
dont le sujet est "As per your request" et le corps du message est
"Please find attached file for your review. I look forward to hear from
you again very soon. Thank you".
!!! Attention, la pièce
jointe readme.exe
déclenche le virus à son ouverture
Si ce programme est exécuté, le
virus se copie dans le répertoire Windows, en modifie le
registre, et se copie aussi dans tous ses disques locaux. Il
s'auto-envoie ensuite quatre fois à tous les destinataires
présents dans le carnet d'adresses, puis simule une erreur
d'ouverture du programme afin de ne pas éveiller les
soupçons et efface les traces des messages
envoyés dans le dossier Messages envoyés.
Au delà d'être dangereux, le but
d'APost est de tenter de saturer les réseaux informatiques,
mais restons méfiants car prudence vaut mieux que
Souffrance...
Pour en savoir plus sur ce virus, cliquez ici
Le troyen Offensive se révèle
sous la forme d'un fichier HTML joint à un courrier
électronique ou accessible en tant que page d'un site web.
Il utilise un bug dans la technologie ActiveX pour changer la page de
démarrage du navigateur et modifier la base de registres de
Windows afin de restreindre sévèrement votre
accès au système (icônes du Bureau
invisibles, impossibilité de démarrer une
application ou de fermer Windows, etc.)
Il y a deux variantes : l'une affiche une page web
avec un bouton "Start", le virus ne se déclenchant que si
vous appuyez sur le bouton, l'autre n'affiche aucun bouton et le troyen
s'exécute immédiatement à l'ouverture
du fichier HTML
Si vous naviguez beaucoup sur le Net ou si vous avez
une correspondance à risque, il est recommandé de
modifier les options de sécurité de votre
navigateur afin d'être consulté avant toute
exécution d'un contrôle ActiveX.
Dans le cas où vous utilisez Internet
Explorer, choisissez "Outils", puis "Options Internet...",
sélectionnez l'onglet "Sécurité", puis
cliquez sur le bouton "Personnaliser le niveau...", et enfin cherchez
l'entrée "Exécuter les contrôles
ActiveX et les plugins" et cochez la case "Demander".:
Ce virus etant très destructeur, sa
propagation devrait rester limitée. En cas d'infection, il
est possible d'utiliser une disquette de secours pour
éliminer le virus et rétablir manuellement les
valeurs correctes de la base de registres, mais le plus rapide et le
plus sûr est de réinstaller Windows.
Pour en savoir plus sur ce virus, cliquez
ici
Magistr.B "Le
destructeur d'Anti-virus"
|
Ce n'est pas la
première version de ce virus mais celle ci est beaucoup plus
destructrice puisqu'elle s'attaque à tous les
systèmes Windows y compris XP.
Apparu début Septembre
2001, cette version est considérée par les
spécialistes comme dangereuse et complexe.
Magistr.B se propage par la
messagerie Outlook (tout comme Apost) ; par contre une
déviante importante le différencie : le contenu
du mail n'a pas de constante et diffère à chaque
envoi (sujet, texte du message et nom de la pièce jointe
changent).
L'extension de la pièce
jointe peut être : .com, .bat ou .pif.
La seule chose commune
à tous ces mails infectés est le champ
Destinataire qui est vide (car les mails sont envoyés en
copie cachée).
!!!
Attention, la pièce jointe déclenche le virus
à son ouverture. (le virus commence
par récupérer des adresses e-mails dans les
carnets d'adresses (Outlook, Netscape ou Eudora) et envoie un mail
contaminé.
Les destinataires qui ouvriront la
pièce jointe infectée verront aussi , toute une
série d'opérations très
dévastatrices se déclencher sur leur ordinateur.
En effet, Magistr.B s'attaque au système d'exploitation et
au disque dur (avec + ou - de dommages).
Même Zone Alarm
(pare-feu) n'y résiste pas car le virus ferme
automatiquement le programme. Il efface aussi tous les fichiers dont
l'extension est .ntz (fichiers utilisés par les antivirus).
Pour clôturer le tout, il installe un cheval de troie sur
votre ordinateur !!
Et bien évidemment, le
virus se relance à chaque démarrage de Windows
tant qu'il n'a pas été
éradiqué.... Alors
Méfiance, Méfiance et encore Méfiance
Pour en savoir plus sur ce virus, cliquez
ici
Ce Virus (connu sous le nom de
code W32.BadTrans.B ou W32/Badtrans-B)
est un ver se propageant à l'aide du courrier
électronique. Il exploite une faille dans Microsoft
Outlook.
Télécharger
le correctif de Microsoft pour s'en prémunir http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
BadTrans.B
se présente sous la forme
d'un message (mail) vide accompagné d'un fichier
joint dont le nom se compose aléatoirement à
partir d'un nom parmi ceux suivants :
FUN,
HUMOR, DOCS, S3MSONG, Sorry_about_yesterday,
ME_NUDE, CARD, SETUP, SEARCHURL, YOU_ARE_FAT!, HAMSTER, NEWS_DOC,
New_Napster_Site, README, IMAGES, PICS
puis
une extension .DOC., .MP3.
ou .ZIP.
puis
une seconde extension .pif
ou .scr (visible uniquement si Windows est configuré pour
afficher toutes les extensions)
Le
sujet du message est une
réponse à un mail
précédemment envoyé au correspondant
infecté, pour ne pas éveiller votre
méfiance ("Re: [titre du mail]").
(par
exemple : la pièce jointe peut donc
s'appeler PICS.doc.scr)
Le
virus s'exécute
automatiquement à l'ouverture du mail ou lors de son
affichage dans la fenêtre de prévisualisation
d'Outlook, si le navigateur est une version d'Internet Explorer 5.01 ou
5.5 non patchée.
Si le
patch a été
appliqué, l'ouverture ou la prévisualisation du
message peut déclencher automatiquement une
fenêtre invitant à ouvrir ou enregistrer le
fichier joint, surtout ne
l'ouvrez pas, cliquez sur le bouton Annuler puis supprimez ce mail
illico presto.
Si par
mégarde, le fichier joint est
exécuté, le virus se copie dans le
répertoire System de Windows sous le nom Kernel32.exe,
modifie la base de registre pour s'exécuter automatique au
prochain démarrage (HKEY_LOCAL_MACHINE\ Software\ Microsoft\
Windows\ CurrentVersion\ RunOnce\kernel32 = “kernel32.exe”)
Le
virus continue ensuite à
envoyer à chaque nouveau correspondant envoyant un mail
à la personne infectée ou à laquelle
cette personne écrit. Badtrans.B installe enfin
dans le répertoire System la backdoor PWS-AV (cheval de
Troie) sous le nom KDLL.DLL : cette
dernière enregistre les frappes au clavier lorsqu'une
fenêtre Windows contient un mot-clé sensible
("log", "pass", "rem", "con", "ter", "net"), stocke ces informations
dans un fichier CP_25389.NLS puis les envoie
à plusieurs adresses emails.
Pour supprimer Badtrans.B,
utiliser un antivirus mis à jour ou sinon
procéder manuellement en supprimant le fichier CP_25389.NLS,
puis la valeur de la clé ci-dessus dans la base de registre.
Ensuite,
redémarrer votre ordinateur
puis supprimer les fichiers Kernel32.exe et Kdll.dll
!!!!
Assurez vous d'abord que ces fichiers
sont bien infectés et que vous avez confirmation par votre
antivirus
Pour en savoir plus sur ce virus, cliquez
ici
Yarner
est un virus de mail
écrit en Delphi se présentant sous la forme d'un
message intitulé "Trojaner-Info Newsletter [date du jour]".
Il est
accompagné d'un fichier
joint nommé YAWSETUP.EXE (437 Ko).
L'expéditeur
est
"Trojaner-Info", et vous laisse croire que le message est une alerte
accompagnée d'un outil de désinfection.
Le
corps du message est
rédigé en allemand :
"Hallo !
Willkomen zur neuesten Newsletter-Ausgabe der Webseite
Trojaner-Info.de. Hier die Themen im Ueberblick:
01. YAW 2.0 - Unser Dialerwarner in neuer Version
************************************
01. YAW 2.0 - Unser Dialerwarner in neuer Version
Viele haben ihn und viele moegen ihn - unseren Dialerwarner YAW. YAW
ist nun in einer brandneuen und stark erweiterten Version verfuegbar.
Alle unsere Newsletterleser bekommen ihn kostenlos zusammen mit diesem
Newsletter. Also einfach die angehaengte Datei starten und YAW 2.0
installieren. Bei Fragen steht Ihnen der Programmierer des bislang
einzigartigen Programmes Andreas Haak unter andreas@ants-online.de zur
Verf gung. Viel Spaß mit YAW!
<http://www.trojaner-info.de/dialer/yaw.shtml>
************************************
Das war die heutige Ausgabe mit den aktuellsten Trojaner-Info News. Wir
bedanken uns fuer eure Aufmerksamkeit und wuenschen allen Lesern noch
eine angenehme Woche. Mit freundlichem Gruss Thomas Tietz &
Andreas Ebert
<http://www.trojaner-info.de>
************************************
Anzahl der Subscriber: 5.966 Durchschnittliche Besuchzahl/Tag: 4.488
Diese Mail ist kein Spam ! Diesen Newsletter hast du erhalten, da du in
unserer Verteilerliste aufgenommen wurdest. Solltest du unseren
Newsletter nicht selber abonniert haben, sondern eine andere Person
ohne dein Wissen, kannst du diesen auf unseren Seiten wieder
abbestellen. Oder sende uns einfach eine entsprechende E-Mail.
************************************ "
Action
et propagation de Yarner
Si le
fichier attaché est
exécuté, le virus se copie sur le
disque sous le nom Notepad.exe (après avoir
renommé le véritable Notepad en Notedpad.exe)
puis modifie la base de registres afin d'être
exécuté à chaque démarrage
de l'ordinateur. Il récupère ensuite les adresses
e-mails présentes le cas échéant dans
le carnet d'adresses Outlook ainsi que dans les fichiers .PHP, .HTM,
.SHTM, .CGI, .PL du répertoire Windows pour les stocker dans
un fichier nommé KERNEI32.DAA puis s'y envoyer
automatiquement grâce à une liste
prédéterminée de serveurs SMTP.
Ce
virus est hautement destructif : dans un cas
sur dix, il supprime tout
ou partie des fichiers présents sur le disque dur
après s'être auto-envoyé aux
correspondants.
Éradication Pour s'en
préserver, il suffit le cas
échant de supprimer le mail contaminé sans
ouvrir le fichier joint
Perrun
est un virus en phase
d'expérimentation qui a pour particularité de
cacher une partie de son code dans certains fichiers de
données comme les images au format JPEG ou les documents
texte.
Les
fichiers .JPG ou .TXT ainsi
modifiées ne sont cependant pas infectées et ne
peuvent pas contaminer un ordinateur sain. Non
destructif, Perrun a été
envoyé aux éditeurs d'antivirus par son
concepteur à titre d'information, mais n'a pas
été lâché sur le web.
Perrun
est composé d'un troyen
extracteur qui peut lire, extraire et exécuter du code viral
caché dans des fichiers JPEG ainsi que d'un programme
caché dans une image JPEG et capable de se copier
lui-même dans des fichiers JPEG, simulant un virus. Pris
séparément, ni le troyen extracteur ni l'image
contenant du code viral caché ne sont des virus, par contre
l'ensemble se comporte vaguement comme un virus multicomposant : comme
les images prétendument infectées ne contiennent
qu'une partie du virus multicomposant et surtout comme elles ne peuvent
pas infecter un ordinateur sain, il est cependant clairement
erroné de parler de virus JPEG.
Perrun
est d'ailleurs d'un genre cas particulier,
car il a été conçu par son auteur dans
le seul but de pouvoir prétendre infecter des fichiers de
données reconnus pour leur sûreté : le
véritable danger réside dans le troyen
extracteur, qui est un moyen d'exécuter un virus ou tout
autre fichier exécutable (backdoor, keylogger, etc.) en le
faisant pénétrer dans l'ordinateur sous la forme
d'un fichier de données inoffensif et fonctionnel.
Cependant,
si des virus de type Perrun devaient se
répandre, il serait également possible de voir
circuler des fichiers de données de taille anormalement
élevée du fait de leur contenu caché
(11 Ko de code viral en plus dans le cas de Perrun).
Techniquement,
Perrun.A se présente sous
la forme d'un fichier exécutable nommé PROOF.EXE
(11,8 Ko) capable de s'installer sur les ordinateurs sous
Windows 32 bits (95/ 98/ Me/ NT/ 2000/ XP). Si ce fichier est
exécuté, il copie sur le disque le fichier
extracteur EXTRK.EXE (5,6 Ko) puis modifie la base de registres
(HKEY_CLASSES_ROOT\ jpegfile\ shell\ open\ command) afin que ce fichier
soit exécuté à la place du
visualisateur d'images habituellement associé au format
JPEG.
Il existe
une variante nommée Perrun.B
affectant les fichiers texte, l'extracteur se nomme TEXTRK.EXE et
modifie la clé HKEY_CLASSES_ROOT\ txtfile\ shell\ open\
command. Lorsque l'utilisateur tente d'ouvrir un fichier de
données, le troyen extracteur vérifie le contenu
dudit fichier : s'il y trouve du code viral, il l'extrait et
l'exécute pour infecter l'ordinateur puis affiche l'image,
sinon l'image est affichée directement.
Frethem
se fait passer pour la réponse
d'un contact qui communiquerait un mot de passe tant attendu. Frethem
K. est un virus de ver profitant des failles du réseau non
corrigées d'Outlook afin de se propager à grande
vitesse. Mais apparemment son action n'est pas destructrice. Une mise
à jour de votre antivirus est donc vivement
conseillée.
Vraisemblablement
originaire du Japon, ce virus de
mail qui se reproduit par l'intermédiaire du carnet
d'adresses d'Outlook et d'Outlook Express, ainsi que dans les fichiers
aux extensions .DBX, .MBX, .EML et .MDB.
Frethem
se présente sous la forme d'une
réponse d'un correspondant avec en objet :
"Re
:Your Password !"
Il est
accompagné du fichier
"decrypt-password.exe" et d'un texte supposé
fournir le mot de passe évoqué par le titre du
mail. Si votre logiciel messagerie n'a pas été
mis à jour par un correctif de
sécurité contre les failles de MIME et IFRAME, le
fichier "decrypt-password.exe" s'auto-exécute à
l'ouverture de l'émail ou lors de la
prévisualisation. Sinon mieux vaut éviter de
lancer l'application .....
Si malgré
toutes ces
précautions, vous avez par mégarde
été infecté, le ver se copie dans le
répertoire Windows sous le nom "Taskbar.exe" avant de
s'auto-envoyer aux contacts des différents carnets
d'adresses. Apparemment, Frethem n'est pas dangereux et se
contente d'envoyer des requêtes sur une série de
site, peut-être pour générer du trafic
publicitaires ou des points dans un système de
réferencement.
N'oubliez
pas de mettre à jour votre antivirus
Opaserv
est un virus qui se propage via
les dossiers partagés, mais qui est incapable de
se propager par e-mail. Le virus se copie dans le répertoire
Windows sous le nom SCRSVR.EXE puis modifie la base de registre afin
d'être exécuté à chaque
démarrage du système. Puis le virus tente ensuite
de se propager aux autres ordinateurs du réseau en se
copiant dans les dossiers laissés en partage ouvert. Il
tente enfin d'accéder à une URL distante
(opasoft.com) pour se mettre à jour ...
Opaserv
est en fait un ver qui "officie" sous les
systèmes d'exploitations Win 95 / 98 et Millenium
Il peut
se nommer aussi :
Worm.Win32.Opasoft
(Kaspersky)
W95/Scrup.worm (McAfee)
W32/Opaserv-A (Sophos)
W32.Opaserv.Worm (Symantec)
WORM_OPASOFT.A (Trend)
Pour
désinfecter un ordinateur
contaminé, il est impératif de supprimer
les partages de ressources inutiles ou de les
protéger par un mot de passe fort, sans quoi l'ordinateur
sera à nouveau réinfecté en quelques
minutes. Il est également nécessaire d'appliquer
appliquer ce
correctif pour corriger un bug permettant au virus de passer
outre le mot de passe protégeant l'accès aux
partages. Enfin, il ne faut surtout pas mettre en partage le disque dur
entier mais préférer partager un
répertoire déterminé et bien connu,
éventuellement segmenté en
sous-répertoires si nécessaire.
Il exite
aussi une variante qui se nomme Opaserv.E
et qui se copie sur le disque sous le nom BRASIL.EXE ou
BRASIL.PIF.
Menger (Messenger.Exploit, CoolNow)
|
Menger
est un ver ciblant
spécifiquement les utilisateurs d'Internet Explorer et de
MSN Messenger. Il se présente sous la forme d'un
court message reçu par mail ou par tout autre moyen, qui
incite l'utilisateur à cliquer sur l'adresse d'un site
Internet.
Si
l'utilisateur clique sur ce lien, la page web
s'ouvre et un Javascript malicieux mais non destructif
s'exécute à son insu : exploitant une
vulnérabilité connue du navigateur Internet
Explorer, il se contente d'accéder au carnet d'adresses de
MSN Messenger et d'envoyer automatiquement à tous les
correspondants une invitation à venir visiter le site
piégé de la forme "Go to: http://
<adresse du site>".
L'adresse
du site concerné est variable,
car ces sites sont fermés au fur et à mesure de
leur découverte, mais le code du virus est facilement
modifiable et permet d'orienter les utilisateurs vers d'autres sites.
Il est donc impératif de combler le cas
échéant la faille utilisée par le
virus pour se propager, en appliquant ce correctif (correctif
cumulatif pour mettre à jour Internet Explorer) -
(vous pouvez lire aussi le Security
Bulletin MS02-005)
Courant Octobre 2002, un nouveau cheval de
Troie, surnommé Netdex, a fait son apparition.
Le virus exploite (une fois de plus ...) une faille
dans le système de sécurité de la
machine Microsoft.
Il semblerait que ce virus provient de la Russie. Il
contient du texte en russe et un lien relié à un
domaine situé en Russie. Sa diffusion apparaît
relativement limitée pour l'instant mais il existe une
possibilité pour qu'il continue de se répandre
à plus grande échelle.
Netdex est un virus relativement
complexe, comprenant plusieurs composantes infiltrants les ordinateurs
d'utilisateurs visitant un site Web infecté. En utilisant
une faille de la machine virtuelle Microsoft, le site Web infecte
l'ordinateur avec un script malicieux qui installe les composantes du
virus.
Ces composantes activent un cheval de Troie qui ouvre
un accès à l'ordinateur infecté,
permettant à des tiers d'y avoir accès. Il est
alors possible pour les pirates de créer, effacer et copier
des fichiers, envoyer des courriels, affecter ce qui est
affiché à l'écran, etc....
Même si des mesures ont
déjà été prises pour fermer
le site Web où le virus se trouvait initialement, cela ne
garantit aucunement que le problème soit
éliminé.
De plus, le script lui-même peut
être envoyé directement par courriel.
Enfin, Netdex a la capacité de se mettre
à jour, donc ses créateurs peuvent rediriger les
ordinateurs déjà infectés vers
d'autres sites Web.»
Bien entendu, la meilleure prévention
demeure, en premier lieu, la mise à jour de Windows et
d'Internet Explorer (http://www.microsoft.com/technet/security/)
Et
n'oubliez pas de mettre à jour votre antivirus
Brid est
un virus qui se propage par e-mail. Il se
présente sous la forme d'un message au titre
aléatoire comportant un fichier attaché
README.EXE. Si ce fichier est exécuté, le virus
se copie sur le bureau Windows sous les noms HELP.EML et EXPLORER.EXE,
puis copie un second virus nommé Funlove
dans le répertoire système de Windows sous le nom
BRIDE.EXE. Une fois exécuté, ce dernier infecte
tous les fichiers .EXE, .SCR et .OCX présents sur le disque
local et se propage via les dossiers partagés.
Les
systèmes
concernés par ce virus sont : Windows 95 / 98 /
Me / NT / 2000 et XP
- La
taille du fichier joint est d'environ 114 ko
- le nom
d'expéditeur, le titre et le
corps sont personnalisés selon les paramètres
Windows de l'utilisateur infecté : (se qui donne ceci)
De:
(nom d'utilisateur de la
personne infectée)
Objet: (nom de l'organisation de la personne
infectée)
Message:
Hello,
Product
Name: (version de Windows)
Product Id: (ID produit de Windows)
Product Key: (clé produit de Windows)
Process
List: (liste de noms et descriptions de
processus)
Thank you.
-----------------
Le virus
utilise une
vulnérabilité IFRAME des navigateurs Internet
Explorer 5.01 et 5.5 (MS01-020)
pour s'exécuter automatiquement à l'ouverture du
message ou lors de son affichage dans la fenêtre de
Prévisualisation avec les logiciels Outlook ou Outlook
Express.
Si le
fichier joint est
exécuté, le virus se copie sur le disque en
écrasant le fichier MSCONFIG.EXE du répertoire
système de Windows et en le remplaçant par une
variante du virus Funlove.
Brid copie dans ce même répertoire un nouvel
exemplaire du virus Funlove
sous le nom BRIDE.EXE, ainsi qu'un exemplaire de lui-même
sous le nom REGEDIT.EXE. Attention : un fichier du
même nom appartenant au système d'exploitation
existe dans le répertoire Windows, il ne faut pas le
supprimer.
Le virus
modifie ensuite la base de registres pour
que le fichier REGEDIT.EXE contaminé soit
exécuté à chaque démarrage
de Windows (HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\
CurrentVersion\ Run\ regedit="C:\ %SYSTEM%\ regedit.exe"), se copie
à nouveau sur le bureau Windows sous les noms HELP.EML
(courrier électronique) et EXPLORER.EXE (navigateur Internet
Explorer), puis utilise son propre serveur SMTP pour s'envoyer aux
adresses email trouvées dans le carnet d'adresses du
logiciel de messagerie Outlook, les messages en attente dans la
boîte de réception et les fichiers .DBX et .HTM. Le
virus peut s'envoyer avec une fausse adresse d'expéditeur
(souvent l'adresse du destinataire lui-même), il est donc
impossible de prévenir la personne infectée.
Brid peut par ailleurs s'envoyer de très nombreuses fois au
même destinataire
Comme d'habitude, la meilleure prévention
demeure, en premier lieu, la mise à jour de Windows et
d'Internet Explorer (http://www.microsoft.com/technet/security/)
Et
n'oubliez pas de mettre à jour votre antivirus
Sobig est un virus de mail (ver), apparu courant
janvier 2003.
Il se propage via mail et via les dossiers
partagés. Il se
présente sous la forme d'un
message au titre et nom de fichier joint aléatoire et dont
l'adresse de l'expéditeur est
généralement big@boss.com.
Si le fichier joint est exécuté,
le virus s'envoie automatiquement à toutes les adresses
qu'il aura collectées sur votre disque dur puis tente
d'installer un troyen sur votre ordinateur.
Les
systèmes
concernés par ce virus sont : Windows 95 / 98 /
Me / NT / 2000 et XP
Il peut
se nommer aussi :
I-Worm.Sobig
(KAV)
W32/Sobig@MM (McAfee)
W32/Sobig-A (Sophos)
W32.Sobig.A@mm (Symantec)
WORM_SOBIG.A (Trend)
Attention
car l'objet du message
peut etre :
- Re :
Sample
- Re :
Movies
- Re :
Document
- Re :
Here is that sample
L'expéditeur
des messages est
quasi systématiquement : big@boss.com
La
pièce jointe à
une extension en .PIF et son nom peut être :
-
Movie_0080.mpeg.pif
-
Document002.pif
-
Untitled4.pif
-
Sample.pif
Si le
fichier joint est
exécuté, le virus se copie dans le
répertoire Windows sous le nom WINMGM32.exe et modifie la
base de registres pour s'exécuter automatiquement au
prochain démarrage de l'ordinateur. Il extrait ensuite les
adresses contenues dans les fichiers .TXT, .HTM, .HTML, .EML, .WAB et
.DBX du disque dur pour s'envoyer automatiquement à leurs
destinataires.
Pour
terminer, Sobig tente d'installer un cheval de
Troie depuis un site hébergé chez
Géocities, permettant ainsi à une personne
malintentionnée de prendre le contrôle de
l'ordinateur infecté.
!!!!
Si vous n'avez pas d'anti-virus : Avant d'être infecté ou
si
c'est déjà trop tard ... Lancez le petit
programme de désinfection (FixSobig - 154 ko) permettant de
rechercher et éventuellement si besoin est,
d'éliminer le virus Sobig.
Pour le télécharger, cliquez
ici
Et
n'oubliez pas de mettre à jour votre antivirus (1 homme
averti en vaut deux !!!)
Fizzer.A
est un virus qui se propage par e-mail et
par le logiciel de partage de fichiers KaZaA. Il se présente
sous la forme d'un message dont le titre et le nom du fichier joint
sont aléatoires. Si le fichier joint est
exécuté, le virus s'envoie à tous les
correspondants présents dans le carnet d'adresses Windows,
désactive les antivirus les plus populaires puis installe
une backdoor, un troyen de type keylogger, ainsi qu'un outil permettant
de lancer une attaque DoS depuis l'ordinateur infecté.
Les
systèmes
concernés par ce virus sont : Windows 95 / 98 /
Me / NT / 2000 et XP
- La
taille du fichier joint est d'environ 241 ko
-
Fizzer.A se présente sous la forme
d'un message dont le titre, le corps et le nom du fichier joint sont
aléatoires.
Voici
quelques exemples de titres de messages :
- koi
luscht zum schaffe ;()
- bis
später ;)
- wenn
was ist, wisst ihr wo ich erreichbar bin
- die zu
uns gefunden haben ;(
- strafrechtliche
Verfolgung nach sich ziehen.
- an
interesting program...
- You
might not appreciate this...
- I
think you might find this amusing...
- check
this out... hehehe
- question...
- see
you tomorrow.
- how
are you?
- you
need to lose weight.
- kind
of simple, but fun nonetheless.
- check
it out.
La pièce
jointe possède un
nom aléatoire composé d'un mot
éventuellement suivi d'un nombre, avec une extension en
.EXE, .COM, .PIF ou .SCR.
Si le
fichier joint est
exécuté, le virus copie les fichiers INITBAK.DAT,
ISERVC.DLL, ISERVC.EXE et PROGOP.EXE dans le répertoire
Windows puis s'envoie à tous les correspondants
présents dans les carnets d'adresses Windows et Outlook,
ainsi qu'à des adresses composées
aléatoirement en utilisant les noms de domaine msn.com,
hotmail.com, yahoo.com, aol.com, earthlink.net, gte.net, juno.com et
netzero.com.
Fizzer.A
tente de désactiver les
antivirus les plus populaires puis installe une backdoor permettant
à une personne malveillante de prendre le contrôle
à distance de l'ordinateur, un troyen de type keylogger
enregistrant les frappes au clavier, ainsi qu'un outil permettant de
lancer une attaque DoS depuis l'ordinateur infecté. Le virus
se copie enfin le cas échéant dans le
répertoire mis en partage via le logiciel KaZaA sous divers
noms accrocheurs
!!!! Les
utilisateurs ne disposant pas d'un antivirus peuvent utiliser
gratuitement l'utilitaire
de désinfection FixFiz (165 ko) pour rechercher et
éliminer le virus
Et n'oubliez pas de
mettre à jour
votre antivirus
Bugbear.B
est un virus de ver qui se propage par
email et via les dossiers partagés. Il se
présente sous la forme d'un message dont le titre et le nom
du fichier joint sont aléatoires. Si le fichier joint est
exécuté, le virus s'envoie à un
maximum d'adresses email extraites de divers fichiers du disque,
désactive les antivirus et firewalls personnels les plus
populaires, installe un troyen de type "keylogger" qui espionne les
frappes au clavier et infecte un grand nombre de fichiers
exécutables présents sur l'ordinateur
contaminé
Les
systèmes concernés par ce virus sont : Windows
95 / 98 / Me / NT / 2000 et XP
Il peut
se nommer aussi :
Win32.Bugbear.B
(Computer Associates)
W32/Bugbear.B@mm (F-Secure)
I-Worm.Tanatos.B (Kaspersky)
W32/Bugbear.b@MM (McAfee)
W32/Bugbear-B (Sophos)
W32.Bugbear.B@mm (Symantec)
PE_BUGBEAR.B (Trend Micro)
Voici
quelques exemples de titres de messages :
- Your
Gift
- Emploi
du temps
- profession
de foi
- Fw:
Note d'infos du site TPE-PME.COM
- Voici
une carte virtuelle pour vous
- TR:
C'est truculent!...
- Re:
cela va tu finir par se rendre!!!
- Microsoft
Outlook Express 6
Les
pièces jointes ont
généralement une double extension, la
dernière étant toujours EXE, SCR ou PIF. Quelques
exemples de noms de fichiers joints :
-
antivirus_install.exe.scr
-
sauvegarde5janvier03.pxj.scr
-
convoc_AG240902.doc.pif
- COMPARATIF
IMPRIMANTES.xls.exe
- Anciens
documents Excel.lnk.scr
- BD.doc.pif
- Petit
Larousse 2000.lnk.pif
- solution
de jeux.lnk.scr
Le
message infecté par Bugbear
peut-être au format texte ou HTML. Dans le cas du format
HTML, le virus utilise une vulnérabilité IFRAME
des navigateurs Internet Explorer 5.01 et 5.5 (MS01-020) pour
s'exécuter automatiquement à l'ouverture du
message ou lors de son affichage dans la fenêtre de
prévisualisation avec les logiciels Outlook ou Outlook
Express.
Si le
fichier joint est exécuté, le virus se copie dans
le répertoire Système de Windows sous un nom
aléatoire, modifie la base de registres pour
s'exécuter automatiquement au prochain démarrage.
Bugbear.B
tente ensuite de se propager via les
ressources partagées en réseau Microsoft, y
compris vers les imprimantes, ce qui provoque des impressions parasites
et des gaspillages de papier (les imprimantes ne peuvent pas
être infectées mais tentent d'imprimer le code
binaire qu'elles reçoivent, le poste contaminé
étant celui de la file d'attente à l'origine de
l'impression parasite). Le virus tente également de
désactiver les antivirus et firewalls les plus populaires en
terminant les processus en force..
Bugbear.B
comporte une backdoor qui ouvre le port
1080 de l'ordinateur afin de permettre à une personne
distante de se connecter à l'ordinateur de la victime pour
dérober, exécuter ou supprimer des fichiers,
ainsi qu'un composant keylogger qui espionne les frappes au clavier et
envoie périodiquement le résultat à
plusieurs adresses emails pré-programmées. Le
virus tente enfin d'infecter les fichiers exécutables
suivants :
- %windows%\scandskw.exe
- %windows%\regedit.exe
- %windows%\mplayer.exe
- %windows%\hh.exe
- %windows%\notepad.exe
- %windows%\winhelp.exe
- %ProgramFilesDir%\Internet
Explorer\iexplore.exe
- %ProgramFilesDir%\adobe\acrobat
5.0\reader\acrord32.exe
- %ProgramFilesDir%\WinRAR\WinRAR.exe
- %ProgramFilesDir%\Windows
Media Player\mplayer2.exe
- %ProgramFilesDir%\Real\RealPlayer\realplay.exe
- %ProgramFilesDir%\Outlook
Express\msimn.exe
- %ProgramFilesDir%\Far\Far.exe
- %ProgramFilesDir%\CuteFTP\cutftp32.exe
- %ProgramFilesDir%\Adobe\Acrobat
- %ProgramFilesDir%\4.0\Reader\AcroRd32.exe
- %ProgramFilesDir%\ACDSee32\ACDSee32.exe
- %ProgramFilesDir%\MSN
Messenger\msnmsgr.exe
- %ProgramFilesDir%\WS_FTP\WS_FTP95.exe
- %ProgramFilesDir%\QuickTime\QuickTimePlayer.exe
- %ProgramFilesDir%\StreamCast\Morpheus\Morpheus.exe
- %ProgramFilesDir%\Zone
Labs\ZoneAlarm\ZoneAlarm.exe
- %ProgramFilesDir%\Trillian\Trillian.exe
- %ProgramFilesDir%\Lavasoft\Ad-aware
6\Ad-aware.exe
- %ProgramFilesDir%\AIM95\aim.exe
- %ProgramFilesDir%\Winamp\winamp.exe
- %ProgramFilesDir%\DAP\DAP.exe
- %ProgramFilesDir%\ICQ\Icq.exe
- %ProgramFilesDir%\kazaa\kazaa.exe
- %ProgramFilesDir%\winzip\winzip32.exe
%Windows%
= C:\Windows ou C:\Winnt (selon la
version de Windows)
%ProgramFilesDir% = C:\Program Files (par défaut)
Comme d'habitude, la meilleure prévention
demeure, en premier lieu, la mise à jour de Windows et
d'Internet Explorer (http://www.microsoft.com/technet/security/)
Et
n'oubliez pas de mettre à jour votre antivirus