Infos sur les virus

 

 

Sites sur les virus :

 

Secuser.com :

 

Zataz.com :

 

Sophos :
http://www.sophos.fr/

Théorie (français) :
http://websecurite.free.fr/virus.htm
http://securinet.free.fr/

Désinfection :
http://www.secuser.com/telechargement/index.htm

http://www.symantec.com/region/fr/avcenter/ (français)
http://www.kaspersky.com/
(anglais)
http://www.f-secure.com/ (anglais)
http://www.viruslist.com/fr/

 

 

Virus avec autorun.inf :

Voir aussi mes pages :
- Exécution automatique
- autorun.inf (contamination par les lecteurs amovibles - clés USB)

Ce sont parmi les plus gênants :

A partir d'un ordinateur infecté :
A chaque fois que l'on connecte une clé USB ou un disque dur externe, le virus se réplique dessus, en créant un fichier d'ouverture automatique = autorun.inf à la racine de la clé USB ou du disque dur externe.

A partir d'une clé USB ou d'un disque dur infecté :
Lorsque l'on connecte la clé USB ou le disque dur externe sur un ordinateur, il suffit que l'on accède au contenu de la clé USB ou du disque dur externe pour que le virus se réplique sur l'ordinateur.
Si l'Exécution automatique est activée, l'infection est immédiate.

C'est une vraie plaie pour s'en débarrasser.

 

Autorun.inf est un fichier caché qui peut être présent à la racine de tout disque, parition, CD-ROM, clé USB.

Autorun.inf est un fichier de commande qui se lance lorsqu'on ouvre le dossier où il se situe.
Exemple : A la racine d'un CD-ROM, il entraînement le lancement automatique d'un programme d'installation.

Les fichiers autorun.inf sont des fichiers texte; On peut les ouvrir avec le Bloc-notes

Exemple de contenu :

[autorun]
open=start.exe

L'ouverture du dossier contenant autorun.inf entraînera l'ouverture du programme start.exe

 

Des virus peuvent exploiter les fichiers autorun.inf.

En ce cas, le virus placera un fichier autorun.inf dans chaque disque ou partition qu'il trouvera. L'ouvertur du disque ou de la partition entraînera l'infection de l'ordinateur.
Exemple : le virus PeSrvr.exe

 

PS : Il vaut mieux désactiver l"Exécution automatique" sur les lecteurs :

Dans Poste de travail ou Ordinateur :
- cliquer avec le bouton droit sur le disque ou la partition,
- sélectionner "Propriétés"
Dans Propriétés :
- onglet "Exécution automatique"

 

 

Anciens virus :

Les virus dont il est fait mention ci-dessous sont anciens. Ils sont donc répertoriés par les antivirus et ne peuvent plus se propager.
... Sauf en cas d'utilisation d'une ancienne disquette, du lancement d'un ancien programme, sur un ordinateur non protégé !

Le plus dangeureux était, sans conteste, le CIH Tchernobyl...

J'hésite à supprimer ces informations... qui peuvent encore être utiles !

Pour info :

Virus dangereux :

Selon Roland Garcia, contributeur du forum news:fr.comp.securite.virus (à consulter en cas de doute) :

"Les soit disant virus dangereux que sont ILoveYou ou Kournikova ne sont que des gadgets et il est évident de s'immuniser contre eux à l'avance.
Fabriquer une signature contre ces virus ne prend que 10 mn.
Les vrais virus sont du genre CIH, MTX, Hybris ou Magistr. Eux posent de sérieux problèmes de détection et de désinfection. Ils ne se diffusent pas en quelques heures et agissent en profondeur. Sauf rare coup de malchance votre éditeur sera averti avant vous et vous les aurez dans la base. C'est là que les qualités d'antivirus font la différence.

 

WIN95CIH Tchernobyl :

C'est sûrement le virus le plus destructeur (avec Magistr). Car il attaque le Bios, et peut rendre l'ordinateur inutilisable. Suivant ses variantes, il se déclenche le 26 avril (date de l'explosion de la centrale nucléaire du même nom), ou tous les 26 du mois.

Un programme pour l'éradiquer (kill_cih) est disponible ici :
http://www.sarc.com/avcenter/kill_cih.html (anglais)

Ou alors (informations de Christian Fabre) :
Fix CIH pour rétablir le système :
http://grc.com/files/fix-cih.exe
Clean CIH pour éradiquer le virus

 

Win32.Magistr :

Il existe plusieurs types de virus Magistr...

Virus de messagerie contenu en pièce jointe.
Très dangereux. Aussi bien sur Outlook que sur Netscape.
"Le sujet du message, le nom du fichier .exe qui l'accompagne sont produits aléatoirement... Parmi les symptômes qui peuvent traduire l'infection d'une machine par ce virus, on note la présence du fichier "WG-SKYF.DAT"..."

Exemple de virus Magistr :
expéditeur : l'occase l'occase ;
objet : !"#$ ;
pas de message d'inscrit dans le corps du mail, par contre une piece jointe qui est un fichier : CFGWIZ32.EXE

Pour l'éradiquer :
http://www.secuser.com/telechargement/desinfection.htm

Nouvelles versions de Magistr :

I-Worm.Magistr.b et I-Worm.Magistr.b.Poly
(les plus difficiles à détecter selon RG)

Magistr.B (alias Magistr.39921) est une variante polymorphique du virus Magistr :
http://www.secuser.com/alertes/2001/magistrb.htm

I-Worm.Readme
http://www.sophos.com/virusinfo/analyses/w32aposta.html

 

MTX :

Virus de messagerie contenu en pièce jointe.
Le nom de la pièce jointe peut varier (ex : READER_DIGEST_LETTER.TXT.pif). Le point important, c'est le nom de l'extension (.pif), invisible dans la configuration ordinaire de Windows.
voir http://www.europe.f-secure.com/v-descs/mtx.shtml
Il est préférable de modifier Windows pour qu'il affiche le nom du fichier en entier (voir).

 

Hybris :

Virus de messagerie contenu en pièce jointe. Il en existe différentes variantes (32 paraît-il).
Il ne se propage pas par l'intermédiaire du Carnet d'adresses, comme d'autres virus de messagerie, mais en s'incrustant dans une bibliothèque Windows (wsock32.dll).

blanche.scr (ou autre)
Le sujet du message est : Les 7 coquins nains ou Blanche neige et ...les sexe nains
Infos sur :
http://www.f-secure.com/v-descs/hybris.shtml

 

Kak (Wscript.kakworm) :

Autre virus similaire : VBS_TAM.A
(la méthode d'éradication manuelle est semblable pour les deux (voir texte).
Bubbleboy est également de la même famille.
http://support.microsoft.com/support/kb/articles/Q240/3/08.ASP

(voir aussi) Virus contenu dans un message en HTML. Il s'active à cause d'une faille de sécurité des versions d'Outlook Express antérieures à la 5.01 (problème corrigé pour la 5.01 et versions ultérieures).
Il n'est pas dangereux... Il se contente, le 1 de chaque mois à partir de 18h00, d'afficher un texte au démarrage de l'ordinateur. Mais il se propage si on rédige ses messages en HTML.

Pour éviter d'en être à nouveau victime :
- effectuer les mise à jour critique sur le site Windows Update

 

W32.Sircam.worm :

Virus de messagerie contenu en pièce jointe. Très répandu actuellement.
L'objet du message et le nom de la pièce jointe sont aléatoires (pris dans les fichiers de l'ordinateur infecté). Le seul identifiant, pour sa version anglaise, c'est un mail commenšant par : Hi! How are you? et finissant par : See you later. Thanks
La taille du message peut aller de 288 Ko à plus de 1.6 Mo.

Premier indice d'infection : présence d'un fichier scam32.exe dans Windows\System.

Infos sur :
http://www.sophos.fr/virusinfo/analyses/w32sircama.html (français)
http://www.sarc.com/avcenter/venc/data/w32.sircam.worm@mm.html (anglais)

Téléchargement d'un utilitaire pour l'éradiquer :
http://www.symantec.com/avcenter/FixSirc.com
ou :
http://www.sophos.com/support/faqs/sircam.html
- télécharger : rmsirc.bat

Méthode de désinfection avec clrav.com :

Je n'ai pas essayé cette méthode, et je ne la garantis pas. Mais c'est la procédure à suivre pour télécharger un programme Dos, et le lancer à partir d'une fenêtre Commandes MS-DOS.

1 Télécharger l'utilitaire de désinfection :
- enregistrer le fichier sur le disque dur, en notant le dossier dans lequel il est enregistré (normalement, un dossier Téléchargement).

2 Déplacer le fichier à la racine de C:
- cliquer avec le bouton droit sur le dossier Téléchargement (ou équivalent),
- sélectionner Explorer,
Dans la fenêtre de droite :
- cliquer avec le bouton droit sur clrav.com, en maintenant le bouton appuyé,
- faire glisser le fichier sur l'icône C: de la fenêtre de gauche,
- relâcher le bouton, et sélectionner Copier.

3 Lancer clrav.com :
- menu Démarrer, Programmes, Commandes MS-DOS,
Dans la fenêtre :
- taper cd.. (cd deux points)
- taper clav

 

VBS/Haptime-A :

Alias : VBS/Help, Happy Time, VBS/Haptime@MM
voir :
http://www.sophos.fr/virusinfo/analyses/vbshaptimea.html
"Il essaie d'infecter les fichiers avec les extensions VBS, HTML, HTM, HTT et ASP. Il essaiera aussi de supprimer les fichiers EXE et DLL lorsque la somme du mois et du jour est égale à 13 (par exemple, le 7 juin)".

voir (anglais) :
http://www.symantec.com/avcenter/venc/data/vbs.haptime.fix.html

 

Codered Nimda :

Ver qui attaque les serveurs web IIS

Nimda :

Nimda est un virus style Codered, il s'attaque aussi bien aux serveurs qu'aux ordinateurs utilisant Internet Explorer et Outlook Express.

C'est un mail accompagné d'une pièce jointe appelée read.exe ou readme.exe

Un signe d'infection : la présence de fichiers *.eml répartis sur le disque.

Il existe 2 versions principales de Nimda : A et E.
Elles sont éradiquables à l'aide de 2 utilitaires différents :
A : http://www.secuser.com/telechargement/Fixnimda.com
E : http://www.secuser.com/telechargement/FxNimdaE.com

Infos sur :
http://www.secuser.com/alertes/2001/nimda.htm
http://www.sophos.fr/virusinfo/analyses/w32nimdaa.html
http://www.symantec.com/avcenter/venc/data/w32.nimda.a@mm.html
http://www.cert.org/advisories/CA-2001-26.html

Logiciel pour éradiquer Nimda :
http://www.symantec.com/avcenter/venc/data/w32.nimda.a@mm.removal.tool.html

 

Badtransb :

Virus de messagerie contenu en pièce jointe.

Symptôme classique : Chaque pression sur la touche ^ affiche le double accent ^^.

voir :
http://www.secuser.com/alertes/2001/badtransb.htm :
"Le virus s'exécute automatiquement à l'ouverture du mail ou lors de son affichage dans la fenêtre de prévisualisation d'Outlook, si le navigateur est une version d'Internet Explorer 5.01 ou 5.5 non patchée contre une vulnérabilité MIME connue."

 

Klez :

Il existe plusieurs variantes de ce virus (A à H).

Principales caractéristiques :

Virus de messagerie accompagné d'une pièce jointe.
Le titre du message, ainsi que le contenu et le nom de la pièce jointe sont aléatoires.

Le virus peut se propager par l'intermédiaire de dossiers partagés.
Il peut désactiver antivirus et firewall.

"Il s'envoie le plus souvent avec une adresse qui n'est pas celle de la personne contaminée (spoofing d'adresse email)".
(donc, l'expéditeur apparent du message n'est pas forcément le coupable de l'infection).

"Le 6 de chaque mois impair (Janvier, Mars, Mai, Juillet, Septembre, Novembre) le virus Klez.E écrase les principaux fichiers de données du disque dur (TXT, HTM, HTML, WAB, DOC, XLS, CPP, C, PAS, MPEG, MPG, BAK, MP3, et JPG) de manière à ce que leur contenu ne soit plus récupérable." (www.secuser.com)

Klez E :
http://www.secuser.com/alertes/2002/klez.htm

Klez H :
http://www.secuser.com/alertes/2002/klezh.htm

Pour éradiquer Klez :
http://www.secuser.com/telechargement/FixKlez.com

Exemple de virus Klez :

virus en pièce jointe : Klez

Ne pas ouvrir les fichiers contenus en pièces jointes !!!

Pour supprimer le message et le virus :

- sélectionner le message dans la partie supérieure,
- maintenir la touche Majuscule enfoncée, et appuyer sur la touche Suppr, pour supprimer définitivement le message, sans l'envoyer dans Eléments supprimés.

Pour avertir le correspondant infecté par Klez :

Klez est envoyé par un utilisateur infecté à son insu.
Pour retrouver le véritable expéditeur :
http://www.secuser.com/alertes/killklez.htm

 

Frethem.K :

Virus de messagerie contenu en pièce jointe.

Il se copie dans le répertoire Windows sous le nom taskbar.exe.

voir :
http://www.secuser.com/alertes/2002/frethemk.htm

Utilitaire de désinfection :
http://www.secuser.com/telechargement/AntiFrethem.exe

Infos de www.secuser.com :
" Les utilisateurs d'Internet Explorer 5.01 ou 5.5 doivent auparavant s'assurer avoir appliqué le correctif permettant de combler la faille exploitée par le virus pour s'exécuter automatiquement.
http://www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp

Ce virus n'est pas destructif, mais il est souvent impossible de prévenir une personne infectée car Frethem.K peut s'envoyer avec l'adresse non pas de la victime mais d'un contact trouvé sur l'ordinateur de celle-ci."

 

BugBear :

Nouveau virus de messagerie. Il s'active à la simple lecture du mail. Il se propage en utilisant n'importe quelle adresse email qu'il trouve sur le PC. Il désactive les antivirus.
Il profite de la fameuse faille de sécurité d'Internet Explorer 5.01 et 5.5, donc, pour les utilisateurs de ce navigateur :
- télécharger les mise à jour critiques sur le site Windows Update, ou,
- installer Internet Explorer 6.x
En tous les cas, mettre à jour ses définitions de virus.

Infos :
http://www.secuser.com/alertes/2002/bugbear.htm

Désinfection :
http://www.secuser.com/telechargement/index.htm#BugBear
http://securityresponse.symantec.com/avcenter/FxBgbear.exe

 

Opaserv :

Présence de fichiers :brasil.exe, brasil.pif, scrsvr.exe, Alevir.exe

Voir :
http://www.secuser.com/alertes/2002/opaserv.htm
http://securityresponse.symantec.com/avcenter/venc/data/w32.opaserv.worm.html

Utilitaire de désinfection FixOpsrv pour rechercher et éliminer le virus :
http://www.secuser.com/alertes/2002/opaserv.htm

Téléchargez le correctif de Microsoft :
http://www.microsoft.com/technet/security/bulletin/MS00-072.asp

 

Naith :

Encore un nouveau virus exploitant la faille de sécurité d'Internet Explorer version 5.01 et 5.5. Voir :
http://www.secuser.com/alertes/2003/lirva.htm