Les virus

Voir aussi mes pages

Et mes liens sur les pages :

 

Conseil Newsletters du site secuser.com :

Pour être informé régulièrement des nouveaux virus en circulation, s'abonner aux newsletters du site secuser.com :
http://www.secuser.com/newsletters/index.htm

 

 

La menace la plus dangereuse : le phishing : voir ma page

Cela consiste en un mail que l'on reçoit et qui semble provenir de sa banque ou d'un organisme auquel on est adhérent (ex : eBay).
Un lien renvoit sur un site où l'on est invité à donner login, mot de passe... ou coordonnées bancaires !
Il faut ignorer ce type de mail. (voir ma page)

 

Liens :

17/05/2007 : Generation-nt - Google : alerte sur la propagation des malwares

 

27/07/2006 : 01net.com - Les rootkit polymorphes

Attention 29/04/2006 : Generation-nt.com - Nouveaux virus : les ransonware
un cheval de troie réclame de l'argent pour libérer vos fichiers infectés

31/01/2006 : Clubic.com - Alerte : de nombreux PC contaminés par Nyxem.e

 

 

alerte A lire en premier...

L'idéal est de démarrer l'ordinateur avec un CD-ROM de désinfection à jour : Voir ma page

 

En cas d'infection, la première chose à faire :

1 - IDENTIFIER LE VIRUS :

- examiner son disque dur avec :
un antivirus mis à jour : Voir ma page
ou un antivirus en ligne : Voir ma page

Sous Windows 98, on peut démarrer l'ordinateur avec une disquette saine contenant un antivirus (voir ma page).

 

2 - ERADIQUER LE VIRUS :

Les antivirus sont souvent impuissants à éliminer certains virus (vers ou worms). Il faudra donc utiliser un utilitaire pour désinsfecter son ordinateur :

voir les utilitaires de désinfection :

Méthodes de désinfection : Voir ma page

Secuser.com :
http://www.secuser.com/telechargement/index.htm

 

Rappels :

Courrier électronique :
La plupart des virus se répandent par l'intermédiaire du courrier électronique :
Ils sont attachés en tant que pièce jointe à un message.
Il faut rappeler qu'il ne faut jamais ouvrir une pièce jointe directement, à partir du logiciel de messagerie (voir ma page)

MSN :
Le compte MSN d'un correspondant peut être piraté. Se méfier de toute correspondance qui invite à cliquer sur un lien.

Mises à jour :
La propagation des virus est aussi due à la "perméabilité" des logiciels Microsoft :
Windows est le système d'exploitation le plus utilisé... et donc, le plus sujet à des attaques de toutes sortes.
Il faut donc :
- télécharger régulièrement les mises à jour critiques sur le site Windows Update,
- mettre à jour Internet Explorer dans sa dernière version (version 6 actuellement).

Utilisation d'Internet :
Le fait de rester connecté continuellement avec une connexion ADSL favorise l'infection.
Il est indispensable de protéger son ordinateur :
voir mes pages :
- Antivirus Antitroyens, Antispyware Ad-Aware SpyBot et Firewall

 

Forum sur les virus :

En cas d'infection, ou en cas de doute, on peut consulter ce forum :
news:fr.comp.securite.virus
Pour des infos sur les forums de discussion (voir)

 

Antivirus gratuit :

Voir mes pages :
- Virus et antivirus
et :
- Avast - antivirus gratuit

 

Sites sur les virus :

Actualités :
http://www.secuser.com/
http://www.sophos.fr/ (français)
http://www.zataz.com/ (français)

Théorie :
http://websecurite.free.fr/virus.htm (français)
http://securinet.free.fr/ (français)

Désinfection : (voir aussi ma page)
http://www.secuser.com/telechargement/index.htm

http://www.symantec.com/region/fr/avcenter/ (français)
http://www.f-secure.com/fr_FR/

Listes :
http://www.symantec.com/security_response/threatexplorer/azlisting.jsp
http://www.viruslist.com/fr/

Logiciels spécialisés dans l'éradication des Trojans (Cheval de Troie)
a-squared Free : http://www.emsisoft.net/fr/software/download/
The Cleaner : http://www.moosoft.com/

 

 

Les faux virus (hoax) :

Les faux virus, ce sont des messages qui se répandent principalement par l'intermédiaire des forums de discussion. Ces messages prétendent à l'existence d'un nouveau virus, souvent en faisant référence à une société importante (Microsoft par exemple), et recommandent de transmettre l'information à tous ses contacts.
En fait, ce sont des hoax (canulars), qui n'ont pour seul but que d'engorger les serveurs de news et de messagerie.

Infos sur les faux virus (français) :
http://www.hoaxbuster.com/

 

 

Anciens virus :

Les virus dont il est fait mention ci-dessous sont anciens. Ils sont donc répertoriés par les antivirus et ne peuvent plus se propager.
... Sauf en cas d'utilisation d'une ancienne disquette, du lancement d'un ancien programme, sur un ordinateur non protégé !

Le plus dangeureux était, sans conteste, le CIH Tchernobyl...

Pour info :

WIN95.CIH Tchernobyl

C'est sûrement le virus le plus destructeur (avec Magistr). Car il attaque le Bios, et peut rendre l'ordinateur inutilisable. Suivant ses variantes, il se déclenche le 26 avril (date de l'explosion de la centrale nucléaire du même nom), ou tous les 26 du mois.

http://www.viruslist.com/fr/

Un programme pour l'éradiqué (kill_cih) est disponible ici :
http://www.sarc.com/avcenter/kill_cih.html (anglais)

Ou alors (informations de Christian Fabre) :
Fix CIH pour rétablir le système :
http://grc.com/files/fix-cih.exe
Clean CIH pour éradiquer le virus

Voir également ma page : virus dangereux

 

Anciennes lertes virus...

18/09/01 Virus Nimda :
Un nouveau virus vient de faire son apparition. Virus style Codered, il s'attaque aussi bien aux serveurs qu'aux ordinateurs utilisant Internet Explorer et Outlook Express.
C'est un mail accompagné d'une pièce jointe appelée read.exe ou readme.exe
Un signe d'infection : la présence de fichiers *.eml répartis sur le disque.
Infos sur :
http://www.sophos.fr/virusinfo/analyses/w32nimdaa.html
http://www.symantec.com/avcenter/venc/data/w32.nimda.a@mm.html
http://www.cert.org/advisories/CA-2001-26.html

Logiciel pour éradiquer Nimda :
http://www.symantec.com/avcenter/venc/data/w32.nimda.a@mm.removal.tool.html

4/09/01 Nouvelles versions de Magistr :
I-Worm.Magistr.b et I-Worm.Magistr.b.Poly
(les plus difficiles à détecter selon RG)
I-Worm.Readme
http://www.sophos.com/virusinfo/analyses/w32aposta.html

9/08/01 Code Red
V ver qui attaque les serveurs web IIS.

24/07/01 W32.Sircam.worm
Virus de messagerie contenu en pièce jointe. Très répandu actuellement.
L'objet du message et le nom de la pièce jointe sont aléatoires (pris dans les fichiers de l'ordinateur infecté). Le seul identifiant, pour sa version anglaise, c'est un mail commençant par : Hi! How are you? et finissant par : See you later. Thanks
La taille du message peut aller de 288 Ko à plus de 1.6 Mo.

Premier indice d'infection : présence d'un fichier scam32.exe dans Windows\System.

Infos sur :
http://www.sophos.fr/virusinfo/analyses/w32sircama.html (français)
http://www.sarc.com/avcenter/venc/data/w32.sircam.worm@mm.html (anglais)

 

Téléchargement d'un utilitaire pour l'éradiquer :
http://www.symantec.com/avcenter/FixSirc.com
ou :
http://www.sophos.com/support/faqs/sircam.html
- télécharger : rmsirc.bat

02/07/01 Virus Win32.Kante.2016 virus :
Pour les utilisateurs d'Inoculate, c'est une fausse alerte due à un défaut de la dernière mise à jour.
Le vrai virus existe, mais dans ce cas particulier, on n'est pas infecté.

29/06/01 VBS/Haptime-A Alias : VBS/Help, Happy Time, VBS/Haptime@MM
voir :
http://www.sophos.fr/virusinfo/analyses/vbshaptimea.html
"Il essaie d'infecter les fichiers avec les extensions VBS, HTML, HTM, HTT et ASP. Il essaiera aussi de supprimer les fichiers EXE et DLL lorsque la somme du mois et du jour est égale à 13 (par exemple, le 7 juin)".

Format .RTF Les documents en format .rtf peuvent contenir des virus :
http://www.sophos.fr/pressoffice/pressrel/20010528wordrtf.html

01/06/01 Un nouvel hoax (voir) a fait son apparition :
"il y a un virus appelé SULFNBK.EXE qui va détruire le disque dur le 01.06.2001. Il se trouve dans le dossier COMMAND de WINDOWS. Il faut supprimer ce fichier"
Le fichier Sulfnbk.exe N'EST PAS UN VIRUS. C'est un fichier Windows qui sert à la gestion des fichiers à noms longs (plus de 8 caractères). Evidemment, il ne faut pas supprimer ce fichier.

Précisions d'Emmanuel JUD --- SECUSER.COM - http://www.secuser.com/:
Le fichier Sulfnbk.exe N'EST PAS UN VIRUS... lorsqu'il se trouve nativement sur l'ordinateur, car Sulfnbk.exe est aussi un des noms utilisés par le virus Magistr (voir) pour se propager (il est d'ailleurs probable que l'hoax vienne de là).

10/05 Homepage.HTML.vbs
Nouveau virus en pièce jointe. Objet du message : Homepage. Ne pas ouvrir la pièce jointe (voir).
http://www.sarc.com/region/fr/avcenter/homepage.html

5/05 Matin de bonheur
C'est un virus de la même famille que KakWorm et Bubbleboy. Contenu dans le code d'un message HTML, il se déclenche dès que l'on clique sur le message.
Cela concerne les version d'Outlook Express 4 ou 5.0 (la 5.01 et suivantes sont protégées). Il faut installer un patch pour éviter d'être victime de ce virus.

11/04 Un trou de sécurité a été découvert dans Internet Explorer versions 5.01 et 5.5. La mise à jour indispensable si vous avez une de ces versions :
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp

17/03 Win32.Magistr
Très dangereux. Aussi bien sur Outlook que sur Netscape.
"Le sujet du message, le nom du fichier .exe qui l'accompagne sont produits aléatoirement... Parmi les symptômes qui peuvent traduire l'infection d'une machine par ce virus on note la présence du fichier "WG-SKYF.DAT"..."

8/03 Naked Wife
Il se présente sous la forme d'un fichier exécutable, nommé "Nakedfwife.exe", attaché à un courrier électronique ayant pour sujet "Fw : Naked Wife" (femme nue...)

READER_DIGEST_LETTER.TXT.pif
Certainement le ver MTX
voir http://www.europe.f-secure.com/v-descs/mtx.shtml
Le nom de la pièce jointe peut varier. Le point important, c'est le nom de l'extension (.pif), invisible dans la configuration ordinaire de Windows.
Il est préférable de modifier Windows pour qu'il affiche le nom du fichier en entier (voir)

AnnaKournikova.jpg.vbs
Infos sur :
http://www.symantec.com/avcenter/venc/data/vbs.sst@mm.html

blanche.scr (ou autre)
Le sujet du message est : Les 7 coquins nains ou Blanche neige et ...les sexe nains
Infos sur :
http://www.f-secure.com/v-descs/hybris.shtml