http://r.orange.fr/r?ref=abuse_vir1&url=http://assistance.orange.fr/1260.php . Pour l'essentiel chaque fournisseur d'accès est censé aviser ses clients s'ils sont l'objet de plaintes nominatives pour transmission de virus. Et en cas de plaintes répétitives la cellule "Abuse" peut prendre des sanctions, rupture de contrat par exemple, voir dans les cas graves transmission aux autorités judiciaires. Orange pour sa part recommande dans le mail que j'ai reçu de faire un scan en ligne à partir d'un lien fourni dans le même message. En l' occurence il s'agit de F Secure. Je l'ai fait et on m'a trouvé 7 virus et 3 logiciels espions qui ont été traités et transmis à Abuse à la fin de la procédure. Un fichier détaillé des opérations et des fichiers infectés est fourni à la fin du scan.
Je note pour ma part : que je n'avais préalablement eu aucun message d'alerte de AVAST, et que mon système fonctionnait normalement, et fonctionne toujours de même après ce "traitement". A suivre.
-EA -DZ -EB : Mon expérience personnelle récente : 13/12/06. 78 fichiers infectés détectés et supprimés par AVAST sur mon ordinateur principal, 86 sur mon ordinateur n°2 en réseau. Tous les fichiers infectés se trouvaient dans C:\local settings\Guy\Temp, moins 1 qui se trouvait dans un sous répertoire du répertoire C:\system volume information. Cette précision a son importance car ce répertoire est celui qui conserve les informations RESTORE de Windows XP. A noter que ce répertoire "system volume information" est un fichier protégé du système et qu'il n'est pas visible par défaut. Pour le voir, dans le poste de travail il faut faire "outils / options des dossiers" et décocher "masquer les fichiers protégés du système". Dans mon cas, et seulement sur mon ordi n°1, AVAST a a aussi détecté que la mémoire était infectée et m'a recommandé de scanner APRES reboot, ce que j'ai fait. A suivre. Très ennuyeux car les renseignements au sujet de ces trojans sont : capture de codes depuis internet, enregistrement des frappes au clavier, réduction de la sécurité, s'installe lui même dans la base de registre, etc...A noter qu'il n'est pas détecté par Ad-aware (anti spyware).
Win fixer : plusieurs membres du club nous ont rapporté une infection par ce Trojan. Une des manifestations connue est un assaut de pages et messages publicitaires et des perturbations majeures dans Word. Un site web, en anglais, fait le point à ce sujet : www.remove-winfixer.com . Il semble qu'un programme Winfixer s'installe à l'insu de l'utilisateur et qu'il est possible de le supprimer tout simplement en allant dans Panneau de config / Ajout suppression de programmes. S'il ne figure pas dans la liste des programmes, le site cité ci-dessus préconise de télécharger un utilitaire XoftSpy SE qui le détectera et le supprimera. Pour ce faire il faudra acheter la licence, environ 10 Euros.
Anti-virus AVAST : nous avons maintenant un peu plus de recul au sujet de cet anti-virus gratuit. Il semble donner toute satisfaction. Il paraît aussi efficace que NORTON ou McAfee VIRUSCAN et il est pour l'instant totalement gratuit. Il est seulement demandé de s'enregistrer en ligne une fois par an sur le site WWW.AVAST.COM .
W32.Mytob : ce virus arrive par un courrier soi-disant de Wanadoo qui vous menace de suspendre ou annuler votre compte si vous ne remplissez pas un questionnaire ...
Fausse barre Google : méfiance, c'est une proposition de CoolWebSearch...
Sober-O et P : si vous recevez un courrier vous proposant de vous reconnaître sur une vieille photo de classe...c'est une variante du virus Sober N qui en 2005 a infecté des milliers d'ordinateurs dans 40 pays en proposant des billets pour le Mondiale du foot en Allemagne en 2006.
Images JPG piègées : Lu sur ce site : http://www.infos-du-net.com/ : "Cette année a vu apparaître une nouvelle sorte de virus. Cachés dans des fichiers images .jpg, il suffisait d'afficher ces images pour être infecté. Andrey Bayora, un chercheur indépendant, souhaitait savoir si les éditeurs avaient réellement pris en compte cette nouvelle menace en soumettant à 23 antivirus un fichier jpeg infecté. Le résultat de ces tests fut plus que troublant : sur les 23 antivirus testés, seul Norton Antivirus a trouvé le virus tandis que les autres l'ont laissé passer. Parmi les 22 perdants, on trouve pourtant de grands noms comme McAfee, Sophos, Trend Micro ou encore Kaspersky Antivirus.
La menace n'est pourtant pas si minime qu'on le pense. Durant toute l'année 2004, de nombreuses failles ont été découvertes et exploitées par les "pirates" tant sous Windows que sous Linux. Les maisons d'édition seraient-elles en train de reproduire la même erreur avec les jpeg piégés qu'avec les spywares qu'elles ont mis de côtés pendant des années ? "
Scob : A ce jour 03/07/04 c'est tout ce que l'on sait. C'est un cheval de Troie pour lequel il n'existe pas de correctif à ce jour. Il serait particulièrement "au point" pour intercepter les données bancaires et les mots de passe. La présence de ces 2 fichiers : kk32.dll et surf.dat signalerait une machine infectée. A bon entendeur salut...Dernière minute : McAfee Viruscan a identifié le virus et sait l'éradiquer. La définition de virus doit être à jour du 02/07/04
W32.Sasser.Worm : Cadeau du 1er Mai. C'est un cheval de Troie. Il arrive par Internet. Il ferme et rallume votre ordinateur toutes les 3 minutes. Même si vous n'êtes pas encore touché, téléchargez l'outil d'éradication de suite à cette adresse en cliquant ici : http://securityresponse.symantec.com/avcenter/Fx.Sasser.exe
Trojan.ByteVerify et Trojan.StartPage : je ne sais pas s' il y a un rapport entre ces 2 virus (il s'agit là en fait de "cheval de Troie" - c'est une forme de virus/programme suite à une intrusion via Internet, et non via le courrier électronique). Mon anti-virus Norton a arrêté 6 fichiers infectés, non réparables, et la méthode préconisée sur le site Norton pour éradiquer le virus s'est avérée inefficace. Les conséquences immédiates sont les suivantes : la page d'accueil que j'avais choisie, en l'occurrence la page index du site du club, a été remplacée par une page "about:blank" (???) se présentant comme un moteur de recherche, et la barre Google que j'avais installée a disparu. J'ai récupéré ma page d'accueil mais j'ai abandonné mes recherches pour retrouver la barre Google, j'en suis navré car elle est très efficace pour les pop-up (fenêtres parasites pendant la navigation internet). Cette expérience me permet de donner ci-après certaines indications concernant un retour (partiel) à la normale, et les symptômes de l'infection :
-dans ce cas j'ai utilisé avec succès le logiciel Ad-aware dont j'ai parlé récemment (voir http://perso.wanadoo.fr/micaero/conseils.htm ) ; il détecte les instructions suspectes dans la base de registre de Windows. Voici une liste de "choses" qu'il ne faut pas avoir sur son disque dur ou dans la base de registre :
- Avenue Média, Internet Optimizer, DyFuCa, MoneyTree/DyFuCa, nem207.dll, nem204.dll, wsem210.dll, iopti130.dll, about:blank, search123.com, ActivAlert,
Note : ne pas oublier de faire un backup de la base de registre avant de modifier ou de supprimer des instructions
W32/Beagle@mm : dernier arrivé..., apparemment sans conséquence sur le système, mais recrudescence de spam dans les e-mails.
W32/Netsky.B@mm etc ...on en est à la lettre R ... tout l'alphabet va y passer... (Un outil unique existe sur le site Norton)
W32/Nachi.worm.B (nom Mc Afee) ou W32/Welchia.worm (nom Norton) . Plusieurs fichiers Windows XP infectés sur l'un des ordinateurs de la salle de cours du club + apparemment neutralisation de Viruscan. A cette occasion il faut noter que les instructions sur les sites internet des Anti-virus précisent que la réparation avec les outils fournis ne peut être définitive que si les mises à jour de sécurité de Microsoft (lesquelles ???) ont été préalablement installées. D'où la consigne de configuration automatique de mise à jour par Windows Update.(voir plus bas W32.Blaster.worm)
W32.Novarg.A@mm : 26 Janv 04 - Ainsi nommé par Norton; Nom Viruscan Mc Afee : W32/Mydoom@MM . Imparable. Arrive avec le courrier et contamine le disque immédiatement. Le seul remède est l'outil (removal tool) à télécharger sur le site de l'anti virus. (Sous XP ne pas oublier de désactiver la restauration du système avant de lancer le nettoyage,... et de la réactiver après.)
Download.trojan : 10 Nov. 03 - Un autre... particularité : les antivirus ne le répare pas, il n'y a pas de fichiers infectés visibles portant ce nom. Méthode : booter en mode sans échec, lancer l'anti-virus et analyser tous les fichiers. Quelque soit le résultat, toujours en mode sans échec faire "rechercher" les fichiers "download.trojan". Cette fois il y en a. Les supprimer. (Sous XP ne pas oublier de désactiver la restauration du système avant de lancer le nettoyage,... et de la réactiver après.)
W32.Swen.A@mm : 19 Sept. 03 - Un de plus...Télécharger FixSwen.exe sur le site Symantec/Norton Anti-virus. Sous XP ne pas oublier de désactiver la restauration du système avant de lancer le nettoyage,... et de le réactiver après.
Worm.Automat.AHB : Sept. 03 - Un e-mail vous invite à mettre à jour Windows avec un fichier joint "Update 4628.exe". N'ouvrez pas, jetez...Notre ami HAUTIER a dû réinstaller Windows XP sur son portable qui était devenu complètement inutilisable.
W32.Blaster.Worm : Attention utilisateurs de Windows XP... détecté le 12/08/03. Les abonnés Wanadoo ont reçu un e-mail à ce sujet pour se connecter de toute urgence sur http://assistance.wanadoo.fr/reponse640.asp ou http://www.microsoft.com/france/securite/alertes/blaster.asp pour prendre les mesures qui s'imposent MEME SI VOUS N'ETES PAS CONTAMINE. Il semble bien qu'il faille retenir de cette attaque : qu'il est nécessaire sous Windows XP d'activer le Firewall de la connexion internet spécialement si vous êtes en ADSL ; de télécharger et d'appliquer le Correctif de Sécurité Windows XP cité dans les pages internet dont adresses ci-dessus; et évidemment de disposer d'un programme anti-virus A JOUR.
Un site précieux : WWW.SECUSER.COM et en FRANCAIS...vous trouverez là les programmes de nettoyage complet après infection, par type de virus.
Dernier en date : W32.Klez.E@mm : (touché : Guy LEDOUX le 22/07/03). Aller sur Norton Anti Virus, télécharger le programme de nettoyage. Attention : sous XP suivre le mode d'emploi à la lettre tel que décrit sur le site, (désactiver le système de restauration avant d'exécuter le programme. Ce faisant on supprime tous les points de restauration existants...)
W32HLLW.Manks@mm : ça vient de m'arriver. N'ECRIVEZ PLUS A PERSONNE AVANT D'AVOIR éradiquè ce virus. Il est reconnu par les anti-virus traditionnels mais ils ne réparent pas. Il se présente sous la forme d'un fichier dont l'expéditeur est support@microsoft.com dont le texte dit : "all informations in the attached file". Avec la référence de Microsoft on ouvre...ERREUR; lorsque le mal est fait la solution est la suivante : aller sur le site suivant : ftp://ftp.f-secure.com/anti-virus/tools/f-sobig.zip . Télécharger le fichier indiqué, dézipper, et lancer le fichier obtenu f-sobig.exe. C'est tout. Rebooter. Détruire les fichiers mis en quarantaine.
W32.Yaha.F@mm : c'est nouveau, ça vient de sortir, votre serviteur vient d'en être victime. Recrudescence de spam (courrier indésirable) dans le courrier. Ce virus m'a infecté 4 fois en 48 heures. La solution se trouve sur internet. Taper le nom de ce virus dans un moteur de recherche (Google a fait ses preuves) et télécharger le tool (outil pour les non initiés...) qui va bien. C'est un petit fichier de Symantec (éditeur de Norton anti-virus), de 170 ko, qui fait le ménage.
C'est un virus...sans en être un : le "hoax", mot anglais qui signifie canular. Il vise toujours à perturber le réseau et consiste souvent à faire circuler un e-mail en chaine du genre "si vous avez ce fichier (généralement un fichier Windows) supprimez le car il va détruire votre disque dur, et transmettez à tous les destinataires de votre' carnet d'adresses...". La conduite à tenir : ne rien supprimer, ne rien transmettre, effacer le message.
W32.bugbear@mm : il fait rentrer un "cheval de Troyes" qui paralyse l'anti-virus et qui de ce fait empèche de scanner le disque. On peut trouver sur internet plusieurs outils (patch - petit programme) pour l'éradiquer. Renseignements : Joël HERAUD.
W95/Spaces.gen et W32/FunLove.gen.
: victime ce jour
4/10/02 : Alain BADAROUS badarous.alain@wanadoo.fr
. Viruscan (Mac Affee) a signalé les virus mais s'est avéré inefficace. Ces 2
virus figurent bien dans la liste à jour des définitions de Viruscan mais avec
une extension .exe et non .gen. Résultats désastreux. Alain a du refaire tout
son système.
SCRSVR.exe : On ne sait pas si c'est un virus. C'est un fichier de Windows déclaré infecté par NORTON Anti-virus (Guy LEDOUX le 30/09/02) qui ne sait pas le traiter. Il ne figure pas sous ce nom dans la liste à jour des définitions de virus Norton. Apparemment sans gravité mais curieux quand même. En effet ce fichier SCRSVR.exe est bien trouvé dans le répertoire Windows mais ses propriètés sont curieuses. Il est soi-disant créé en 2106...et il est réclamé à chaque boot. Je cherche une solution. Dernière minute : C'est bien un virus. Son nom : W32.Opaserv.Worm (Norton) ou W95/Scrup.worm (McAffee Viruscan). On ne sait pas exactement ce qu'il fait mais il est classé dangereux 3/5 par Norton. Un scan tous fichiers par Norton Anti-virus a trouvé 1 fichier infecté ( qui n'est pas scrsvr.exe) sur mon ordinateur mais le nombre de fichiers touchés peut être très important. Norton Anti-virus ne peut pas réparer et met les fichiers infectés en quarantaine.
Magistr.B : victime cette semaine 5/08/02 : Henri BONO. d.bono@atlantic-line.fr . Viruscan (Mac Affee) a trouvé et éliminé le virus. Sous ce nom il n'existe pas dans la liste de NORTON Anti-virus.
W32. etc... : encore une variante . Il s'agit de W32.Datom.worm. Le 17 Juillet, en dépit d'une mise à jour de mon anti-virus NORTON faite la semaine précédente, je suis victime de ce virus qui infecte le fichier MSVXD.EXE déclaré irréparable par NORTON. Je l'exclue. Au démarrage suivant Windows me le réclame ou me demande de le supprimer de WIN.INI, ce que je fais. Retour à la normal... sans savoir si l'absence de ce fichier ne provoquera pas ultérieurement de problèmes... Par réflexe je remets à jour mon anti-virus... pas de chance, le nouveau virus W32 figure bien dans la nouvelle liste datée de ce jour 17/07...
W32. etc... : suite. Les variantes de ce virus sont nombreuses. En voici 2 autres qui se sont également manifesté sur mon ordinateur ces derniers jours. Il s'agit de W32.Nimda.enc et W32.Nimda.A@mm(dr) .Le premier crée des fichiers infectés à extensions "nws" ou "eml" qui font 0 ou 77,3 KO. Le 2ème des fichiers à extensions "TMP" qui font 0 ou 56 KO. Norton ne sait pas réparer ces fichiers qui ont tous des titres en espagnol de chansons du folklore latino américain, par exemple "mercedes sosa : gracias a la vida.eml". Pour les détecter il est nécessaire de scanner "tous fichiers" car la configuration par défaut des anti-virus ne scannent que les fichiers programmes et système. J'en ai actuellement 65 en quarantaine qui ne peuvent pas être réparés et qui peuvent donc être supprimés. Vider la corbeille. Personnellement ces fichiers infectés n'ont apparemment (?) pas causé de dommage à mon système. Dans ces 2 versions le virus W32 ne parait donc pas très dangereux.
Mais se méfier car... est ce une coïncidence ? : la veille du jour où je suis infecté je reçois un message vide d'un certain "dsautereau". Le lendemain je reçois un autre message du même expéditeur qui me propose d'éradiquer définitivement le virus W32...moyennant finance, en commandant sur le site d'un éditeur anti-virus dont il me donne l'adresse...curieux non ?
BADTRANS B : 1er Déc 01 - Nous détenons une info concernant un "virus" (qui semble avoir plusieurs noms suivant Viruscan ou Norton). Il se caractérise par l'envoi de messages dont la provenance est inconnue, avec des pièces jointes et aucun texte dans le corps du message. Évidemment ne pas ouvrir la ou les pièces jointes. Mais voici une méthode de nettoyage si vous êtes infecté : (ne concerne que Internet Explorer et Outlook Express 4 - 5 - 5.5 - IE6 n'est pas concerné. Les Macs ne sont pas touchés non plus) :
Repérez ces 3 fichiers dans le répertoire Windows/system :CP_25389.NLS KDLL.DLL Kernel32.exe
1-Supprimer le fichier cp_25389.nls
2-Redémarrer en mode Dos
3-Supprimer kdll.dll et Kernel32.exe
4- redémarrer windows
( il est inutile de supprimer la clé kernel32 dans la base de registres )
Le virus utilise une faille de sécurité d'Internet Explorer. Des patches
existent que l'on peut télécharger sur le site de Microsoft. Mais il faut
également configurer Internet Explorer et Outlook Express :
Dans OE : Outils/Options/Securité : cocher la case "Zone Sites
sensibles"
Dans IE : Outils/Options/Sécurité : Sélectionner "Sites
sensibles", puis
cliquer sur "personnaliser le niveau". A téléchargement de
fichiers,
sélectionner "désactiver"
Profitez-en pour désactiver les controles Active-X pour vous
protèger des virus de type Kak.
W32.Sircam.Worm@mm : Jacques BOUCHET
vient d'être touché par ce virus, identifié par NORTON (Viruscan :
vérifier). Très élaboré et dangereux. Le corps du message dit ceci en
anglais (ou en espagnol) :
ANGLAIS:
Hi! How are you?
I send you this file in order to have your advice
See you later. Thanks
Content.bat (110 k) : nom du fichier joint à un message dont l'objet était : "This EULA grants you no rights", et le texte entre autre : "par \plain\f2\fs16\cf0\b 3.\tab PRE\RELEASE CODE.\p...etc " C'était bien un virus détecté par Viruscan, (mais je ne sais pas sous quel nom) dont un des effets consistait notamment à rendre les icones du bureau Windows insaisissables...
VBS.tam.A : nouvelle variante de Mélissa, Love.letters, etc, détecté sur mon disque dur par NORTON Anti Virus lors d'un scan "tous fichiers". Semble provenir du circuit de la Généalogie (infos disponibles : Roland DEBAERE) . Génère sur certains ordinateurs (pas sur tous) des fichiers out.hta et tam.hta. Se propage par le courrier. Personnellement a infecté le fichier "éléments supprimés.dbx" d'Outlook Express. Non réparable. Mis en quarantaine. Bien qu'identifié par NORTON comme s'attaquant aux fichiers programmes n'est pas détecté automatiquement au boot. Nature et étendue des dégâts inconnus. (de moi en tous cas...). GL
Nouveau : SULFNBK.EXE : si on vous dit que ce fichier est un virus existant sur votre ordinateur dans l'attente d'être activé, ne faites rien c'est une INTOX. Il s'agit d'un fichier utilitaire de Windows. Par contre si vous recevez un e-mail avec un fichier de ce nom en pièce jointe jetez sans ouvrir. C'est bien un virus qui ne semble pas encore identifié. Si vous voulez plus de détails tapez le nom de ce fichier sur le moteur de recherche VOILA.
Nouveau : 1°/ W32.Magistr.24876@mm : corps du message vide, objet bizarre (du genre ("ù::), 2 fichiers joints, un .DOC et un .EXE. Supprimer le message sans activer les pièces jointes. Le virus se propage à tous les carnets d'adresses. Il est éradiqué par NORTON. (Viruscan : à vérifier)
2°/ autre forme du précédent : W32.Magistr.@corrupt , plus grave. Il est également identifié par NORTON, mais pas complètement éradiqué. Personnellement j'ai eu 47 fichiers infestés, NORTON en a réparé 46 et mis un en quarantaine. Il s'agissait d'un .EXE. J'ai dû désinstaller et réinstaller le programme.
Nouveau : Kurnikova, il est présenté dans la presse comme se propageant par e-mail. Le texte du message propose de voir la photo de la joueuse de tennis. Ne pas ouvrir évidemment.
Rappel :
"SouthPark.exe":
Il se présente sous la forme d'un courrier électronique écrit en Allemand sous le titre "Servus Alter" (salut mon vieux) avec le texte "voici le jeu que tu voulais désespérément". Un fichier y est joint baptisé "SouthPark.exe". Comme IloveYou, ce virus se répand automatiquement via les carnets d'adresses.
Il paraît qu'il serait encore plus destructeur qu'IloveYou. Toujours la même consigne : détruire sans ouvrir la pièce jointe.
"VBS.Love.Letters" :
"VBS.Love.Letters" est maintenant connu de tout le monde. Les effets de ce virus et de ses différentes variantes sont dévastatrices, mais comme tout virus la parade est simple : ne pas cliquer sur l'attachement (le
trombone), sélectionner la ligne de message et le supprimer. Bien évidemment il faut mettre son programme anti-virus à jour en téléchargeant et installant les dernières définitions de virus.
"KAK" :
"KAK" est connu depuis Octobre 99 et ne s'attaque qu'à Outlook Express, version 5 uniquement. Il provoque l'arrêt de la machine après affichage tous les 1er du mois à 17 h d'un message "anti Microsoft".Il ne serait pas détecté par NORTON ou VIRUSCAN. Ne pas ouvrir et détruire
. Vérifier l'autoexec.bat et supprimer une ligne éventuelle qui ferait référence à
KAK.htm.
"Mélissa" :
"Mélissa" est actuellement en train de se propager sur le réseau. Baptisé VBS.freelink, ce virus se propage en s'envoyant automatiquement à toutes les adresses e-mail stockées dans le programme Outlook Express de l'ordinateur contaminé. (Net@scope n°24 de Nov 99)
"Minizip" :
Ce virus qui porte le nom de "zipped_files.exe" voyage en pièce jointe aux courriers électroniques, s'installe dans Windows sous le nom de "explore.exe", s'attaque aux fichiers système et aux principaux documents bureautiques (.doc .xls etc...), et se propage par auto-reproduction en utilisant les carnets d'adresses e-mail. Il jette la suspicion sur les fichiers .ZIP en pièces jointes aux courriers e-mail. (Décrit pour la première fois par Network Associates le 24 Nov 99)
"Buddylst.SIP" :
Se présente sous forme d'un message ayant pour objet "Screensaver Budweiser". Ne pas ouvrir. Nous est signalé par Atlantic-line comme étant très dangereux et non stoppable actuellement par les programmes anti-virus.