Sur : http://www.symantec.com/avcenter/index.html
Quand l'antivirus n'était pas à jour et que le virus est passé, beaucoup de sociétés proposent des "fix". Petit programmes à télécharger dont le rôle est de scanner le poste afin de le décontaminer d'un virus précis, car ces virus désactivent souvent l'anti-virus. Il faut donc trouver un moyen de les éliminer. Ces Fix sont bien recensés sur http://www.secuser.com/telechargement/desinfection.htm et certains sont en téléchargement sur cette page qui concerne les virus pour lesquels une aide a été sollicité auprès de la DSI.
Virus Sasser, le frère de Blaster annoncé depuis le 1 mai 2004, il
exploite une faille du système pour laquelle un correctif est proposé depuis
le 13 avril.
http://www.microsoft.com/france/securite/Info/info.asp?mar=/france/technet/themes/Secur/Info/MS04-011.html
Comme ce virus provoque un redémarrage intempestif de l'ordinateur on n'a
plus le temps de se connecter à Internet pour charger le correctif.
Solution. Sur un poste XP essayer d'annuler le redémarrage en cliquant sur
Démarrer, Exécuter et taper shutdown -a. Aller ensuite chercher le correctif.
Télécharger le correctif à partir d'un poste Windows 95/98, en prenant la
mise à jour pour le produit concerné et aller l'exécuter sur le poste
contaminé. Après avoir passé ce correctif sur la page http://www.microsoft.com/security/incident/sasser.asp
on peut tester la machine et retirer les traces de Sasser. On trouve aussi un
fix sur http://www.secuser.com/alertes/2004/sasser.htm
En cas de problèmes après le passage du correctif http://www.presence-pc.com/news/n3741.html
Virus-clamav.
Depuis le 25 mars 2004 il y a sur la messagerie une foule de messages ayant pour objet
(virus-clamav) Clamav n'est pas un virus mais un projet de développement libre d'un
anti-virus appelé Clamav (av pour Anti virus) pour système Linux http://www.framasoft.net/article2385.html.
Mais Attention : Le message qui a pour objet virus-clamav contient bien un virus en fichier
attaché. Quel virus ? je n'en sais rien car le mur antivirus de l'académie ne
le laisse pas passer. Ceux qui ont leur adresse sur ac-nancy-metz.fr sont protégés,
mais ceux qui ont des adresses sur d'autres messageries doivent être prudent et
avoir un anti-virus à jour.
Netsky.D (1/03/04)
Netsky.D est un virus qui se propage par email. Il se présente sous la forme
d'un message dont le titre et le corps sont aléatoires, avec un fichier joint
dont l'extension est .PIF (17 Ko). Si ce dernier est exécuté, le virus
s'envoie automatiquement aux adresses présentes dans le carnet d'adresses
Windows ainsi que divers autres fichiers du disque dur. Télécharger
un programme de décontamination (de Symantec). Documentation sur . http://www.secuser.com/alertes/2004/netskyd.htm
Bagle et ses variantes (une bonne dizaine). (Février 2004)
Bagle est un virus qui se propage par email. Il se présente sous la forme d'un
message dont le titre est "Hi" et qui comporte un fichier joint dont
le nom est aléatoire, avec extension en .EXE. Si ce fichier joint est exécuté,
le virus s'envoie aux adresses présentes dans le carnet d'adresses Windows
ainsi que divers autres fichiers, puis tente de se connecter à plusieurs sites
web dont les adresses sont pré-programmées
Télécharger un programme de
décontamination (de Symantec).
Mydoom ou (Novarg ou encore Mydoom B) : 28 janvier 2004
Bloque l'accès à quelques sites web, incluant certains sites microsoft.com. Le
ver se propage grâce au courrier électronique, et notamment via une pièce
jointe exécutable (extension .bat, .cmd, .exe, .pif, .scr, ou .zip). Si
l'utilisateur ouvre celle-ci, le ver installe sur sa machine un code malicieux
puis récupère automatiquement tous les contacts de l'ordinateur auxquels il
envoie des messages contaminés. http://www.microsoft.com/france/securite/alertes/mydoom.asp Télécharger
un programme de décontamination (de Microsoft).
W32.IRCBot.C :28 janvier 2004
Un cheval de Troie pour se connecter à un site IRC.
http://www.symantec.com/avcenter/venc/data/w32.ircbot.c.html
W32.HLLW.Gaobot Removal Tool : 13 janvier 2004.
Plusieurs variantes, W32.HLLW.Gaobot.AG, W32.HLLW.Gaobot.AO, W32.HLLW.Gaobot.Gen
qui se diffusent par les partages réseau. Un outil d'éradication est proposé
sur le site Symantec et disponible ici.
http://www.symantec.fr/avcenter/venc/data/w32.hllw.gaobot.removal.tool.html
W32/Swen@MM: 18 septembre 2003
Le virus Swen (ou W32/Swen@MM) se répand par messagerie électronique et via les partages de fichiers. Impact : envoi massif de courriers électroniques, désactivation des processus relatifs à des logiciels de sécurité comme des antivirus ou des pare-feu.
Produits concernés : Microsoft Outlook, Microsoft Outlook Express et les messageries Web
Risque : modéré
Sobig.A et ses variantes
(20 août 2002)
reprend les caractéristiques de
Sobig.B, Palyh (=Mankx)
Ce
que vous devez savoir sur le ver Sobig.
W32.Blaster.Worm
Lovsan, (11 août 2003). Le ver W32.Blaster.Worm se nomme encore W32/Lovsan.worm, Win32.Poza, Lovsan, WORM_MSBLAST.A, W32/Blaster-A ou W32/Blaster exploite la faille de sécurité mentionnée dans le bulletin MS03-026 : un débordement de mémoire tampon dans l’interface RPC risque de permettre l'exécution d'un code malveillant. Il affecte Microsoft Windows NT 4.0, Windows NT 4.0 Édition Terminal Server, Windows 2000, Windows XP, Windows Server 2003 mais ne touche pas Windows 98 et Millennium Edition. Un programme d'éradication de Symantec et une documentation de Microsoft Comment supprimer le ver Blaster ?Sobig.B Palyh (=Mankx)
18/05/2003 W32/Palyh@MM (Indice de gravité : moyen)
W32/Palyh@MM est un ver qui usurpe l'adresse support@microsoft.com. (le (spoofing).
Affecte Microsoft Outlook, Outlook Express et
programmes de messagerie électronique basés sur le Web. Si
support@microsoft.com est bien une adresse électronique valide, Microsoft
n'envoie pas de courrier non sollicité contenant des pièces jointes à ses
clients. On reçoit par ce message un fichier attaché qui se veut être un
correctif, en fait si
ce fichier est exécuté, le virus s'envoie à tous les correspondants présents
dans le carnet d'adresses Windows, ainsi qu'aux adresses email collectées dans
les fichiers .DBX, .HTM, .HTML, .EML ou .TXT de l'ordinateur infecté. http://secuser.com/alertes/2003/palyh.htm
FIZZER, repéré le 8 mai 2003 par la société finlandaise d'antivirus
F-Secure, qui lui a attribué un niveau un de dangerosité sur une échelle de trois, le plus élevé,
se propage actuellement au Moyen-Orient et en Europe. Il peut affecter les ordinateurs sous Windows, sur lesquels est installé le logiciel de messagerie électronique Outlook, ainsi que l'interface d'échange de fichiers
peer-to-peer, Kazaa.
http://www.symantec.com/avcenter/venc/data/w32.hllw.fizzer.removal.tool.html
http://www.secuser.com/alertes/2003/fizzer.htm
BUGBEAR (30 septembre 2002) est un virus qui se propage par email et via les dossiers partagés. Il se présente sous la forme d'un message dont le titre et le nom du fichier joint sont aléatoires. Si le fichier joint est exécuté, le virus se copie dans le répertoire Windows avec un nom aléatoire et installe un troyen de type "keylogger" qui espionne les frappes au clavier. Bugbear est enfin capable de désactiver les antivirus et firewalls personnels les plus populaires. http://www.secuser.com/alertes/2002/bugbear.htm
YARNER, (mars 2002) un virus
"hautement destructif" : il efface les fichiers du disque dur,
diffusé par le message ""Trojaner-Info Newsletter [date du jour"
et par le texte du message rédigé en allemand :
"Hallo ! Willkomen zur neuesten Newsletter-Ausgabe der Webseite Trojaner-Info.de. Hier
die Themen im Ueberblick: 01. YAW 2.0 - Unser Dialerwarner in neuer Version " etc.. (vous n'avez ici
que le début du texte)
Le message est accompagné d'un fichier attaché : YAWSETUP.EXE (437 Ko) et si
vous cliquez sur le fichier vous exécutez le virus. Aujourd'hui comme hier, méfiez
vous des fichiers attachés, particulièrement des *.exe, *.com, *.pif, *.bat,
*.doc, *.xls et ayez un antivirus à jour.
http://www.secuser.com/alertes/2002/yarner.htm
GIBE (mars 2002) Gibe est un virus de mail qui se présente sous
la forme d'un message intitulé "Internet Security Update" accompagné
d'un fichier joint nommé Q216309.EXE (129 Ko). L'expéditeur est faussement
"Microsoft Corporation Security Center", afin de laisser penser à une
alerte accompagnée d'un correctif. Le corps du message, en anglais, détaille
les vulnérabilités et l'installation du prétendu correctif
http://www.secuser.com/alertes/2002/gibe.htm
W32Kleze,
http://www.secuser.com/alertes/2002/klez.htm
http://www.sophos.fr/virusinfo/analyses/w32kleze.html
http://www.sophos.fr/virusinfo/analyses/w32klezf.html
http://www.sophos.fr/virusinfo/analyses/w32klezg.ht
http://sophos.fr/support/disinfection/klezh.html
W32/NIMDA. Un nouveau ver/virus est apparu W32/NIMDA. A priori
ce serait la cause de la très grosse augmentation du trafic réseau a
destination du port 80 (requêtes vers des serveurs web). NIMDA se propage au
moyen de la messagerie électronique. Il arrive sous la forme d'un document
attache avec le nom 'README.EXE'.
http://securityresponse.symantec.com/avcenter/venc/data/pf/w32.nimda.a@mm.html
Sircam.
La page http://www.linternaute.com/0redac_actu/0107_juillet/070725sircam.shtml
donne toute explication à ce sujet Attention ! Le virus SIRCAM comporte une instruction de destruction !!!
L'instruction de destruction de SIRCAM est programmée pour entrer en action le
16 octobre : à cette date, tous les fichiers seraient détruits et les données
perdues. Un programme d'éradication sous Dos
"Magistr.b", 2 variantes sont possibles: Virus
W32/Magistr.a@MM
http://www.symantec.fr/region/fr/avcenter/magistr_24876.html
http://www.sarc.com/avcenter/venc/data/w32.magistr.24876@mm.html
et W32/Magistr.b@MM
http://www.symantec.com/avcenter/venc/data/w32.magistr.39921@mm.html
Le sujet et le corps du message sont choisis de façon tout a fait aléatoire.
Le résultat est un message au sujet et au contenu
complètement incohérents et inattendus. Les textes sont des extraits de
fichiers choisis aléatoirement sur le disque.
Dans le cas de MAGISTR, les retombées risquent d'être très graves, ce
programme étant susceptible d'endommager sérieusement non seulement vos
informations mais aussi des éléments de configuration du système infecté.
WScript/KakWorm est un ver qui s'attache à tous les courriers électroniques envoyés depuis un ordinateur infecté, sous Outlook Express 5 (versions anglaise et française de Windows). Quand un ordinateur sain reçoit sous Outlook Express un message infecté, le ver crée le fichier kak.hta dans le répertoire de démarrage de Windows. Au démarrage suivant, il modifie C:\Autoexec.bat (après l'avoir sauvegardé sous le nom C:\Ae.kak) en lui ajoutant 2 lignes qui effacent kak.hta. Il remplace aussi le fichier de signature d'Outlook par un fichier infecté, C:\Windows\kak.htm. Tous les messages envoyés depuis Outlook par la suite sont infectés. WScript.KakWorm s'installe dans le répertoire C:\Windows\System, sous un nom variable avec l'extension .hta, et il modifie la base de registres de manière à être lancé à chaque démarrage du système, ce qui lui permet de reconstituer le fichier C:\Windows\kak.htm à chaque fois. Si Windows est démarré le 1er du mois à partir de 18 heures, il affiche un message d'alerte. Puis il éteint Windows
Beaucoup de sites proposent des Fix. (petits programmes chargés d'éradiquer un certain type de virus.
http://www.secuser.com/telechargement/desinfection.htm
http://www.emsisoft.net/fr/support/malware/
(orienté trojan)
http://fr.bitdefender.com/html/free_tools.php
http://www.inoculer.com/antivirus.php3
http://www.europe.f-secure.com/download-purchase/tools.shtml.
Un antivirus en ligne www.secuser.com/antivirus
Un site de référence pour traquer les fausses rumeurs (hoax). : http://www.hoaxbuster.com,
et http://www.hoaxkiller.com/
Une petite description de HoaxKiller
En cas de réception
d'un hoax, ou pour vérifier le texte d'un message suspect, vous pouvez utiliser
gratuitement notre analyseur
antihoax (cliquez sur le lien ou sur l'image ci-dessous). Mis
à jour régulièrement, il permet d'identifier les principaux hoax, ainsi que
certains virus et certaines tentatives d'escroquerie en ligne. Si nécessaire, prévenez
ensuite l'expéditeur du message ainsi que les éventuels co-destinataires,
afin de les informer de l'existence des hoax et de contribuer à enrayer la
propagation du message.
et chez Norton http://www.symantec.com/avcenter/hoax.html
JDBGMGR.EXE, Hoax du même type que SULFNBK.EXE, un mail
vous demande de supprimer le fichier Jdbgmgr.exe au prétexte qu'il serait un
virus. Jdbgmgr.exe (Java Debugger Manager) est en effet un fichier présent
dans certaines versions de Windows et fait partie de la machine virtuelle Java
de Microsoft.
GOOD LUCK Certains médias (dont Le Figaro, France Inter et Europe 1) ont
rapporté l'existence d'un virus nommé Good Luck qui serait "incontrôlable",
"totalement invisible", "très destructeur" et une
"arme absolue des cyber terroristes". Ce virus est en fait le produit
d'une opération de communication particulièrement maladroite menée par un éditeur
d'antivirus français. Good Luck, n'a pour aucune existence réelle. Au final, d'après un
membre de la Direction centrale de la sécurité des systèmes d'information
(DCSSI) cité par Libération : "Il n'y a rien de concret dans cette
affaire. A part une belle manipulation de l'opinion publique par T****". http://www.secuser.com/hoax/2002/goodluck.htm
SULFNBK.EXE n'est pas un virus mais un fichier de Windows qui sert à
transcrire les noms longs en nom 8+3 quand on passe dans une fenêtre dos.
LFN = Long File Name.
Un hoax désignant ce fichier comme virus s'est répandu depuis avril 2000.
http://www.symantec.com/avcenter/venc/data/sulfnbk.exe.warning.html
Vous pouvez retrouver tous les bulletins de sécurité à l'adresse :
http://www.microsoft.com/france/technet/themes/secur/default.asp#bulletins
Dernière mise à jour le 02/05/04
« Retour en page d'accueil des Services »
« Retour
en page d'accueil de CIEL »