Infos sur les virus

"Les soit disant virus dangereux que sont ILoveYou ou Kournikova ne sont que des gadgets et il est évident de s'immuniser contre eux à l'avance.
Fabriquer une signature contre ces virus ne prend que 10 mn.
Les vrais virus sont du genre CIH, MTX, Hybris ou Magistr. Eux posent de sérieux problèmes de détection et de désinfection. Ils ne se diffusent pas en quelques heures et agissent en profondeur. Sauf rare coup de malchance votre éditeur sera averti avant vous et vous les aurez dans la base. C'est là que les qualités d'antivirus font la différence.

WIN95CIH Tchernobyl :

C'est sûrement le virus le plus destructeur (avec Magistr). Car il attaque le Bios, et peut rendre l'ordinateur inutilisable. Suivant ses variantes, il se déclenche le 26 avril (date de l'explosion de la centrale nucléaire du même nom), ou tous les 26 du mois.

Des infos :
http://www.viruslist.com/eng/viruslist.asp?id=3204&key=00001000050000500007

Un programme pour l'éradiquer (kill_cih) est disponible ici :
http://www.sarc.com/avcenter/kill_cih.html (anglais)

Ou alors (informations de Christian Fabre) :
Fix CIH pour rétablir le système :
http://grc.com/files/fix-cih.exe
Clean CIH pour éradiquer le virus :
http://www.pspl.com/download/cleancih.exe

Win32.Magistr :

Il existe plusieurs types de virus Magistr...

Virus de messagerie contenu en pièce jointe.
http://www.zdnet.fr/cgi-bin/a_actu.pl?File_ini=a_actu.zd&ID=18722
http://planete.qc.ca/pierrealaincoic/alertevirus/
Très dangereux. Aussi bien sur Outlook que sur Netscape.
"Le sujet du message, le nom du fichier .exe qui l'accompagne sont produits aléatoirement... Parmi les symptômes qui peuvent traduire l'infection d'une machine par ce virus, on note la présence du fichier “WG-SKYF.DAT”...."

Exemple de virus Magistr :
expéditeur : l'occase l'occase ;
objet : !"#$ ;
pas de message d'inscrit dans le corps du mail, par contre une piece jointe qui est un fichier : CFGWIZ32.EXE

Pour l'éradiquer :
http://www.symantec.fr/region/fr/avcenter/magistr_24876.html

Voir aussi :
http://www.sophos.fr/virusinfo/articles/swclean.html
http://www.secuser.com/telechargement/index.htm#MagistrA

Nouvelles versions de Magistr :

I-Worm.Magistr.b et I-Worm.Magistr.b.Poly
(les plus difficiles à détecter selon RG)

Magistr.B (alias Magistr.39921) est une variante polymorphique du virus Magistr :
http://www.secuser.com/alertes/2001/magistrb.htm

I-Worm.Readme
http://www.sophos.com/virusinfo/analyses/w32aposta.html

MTX :

Virus de messagerie contenu en pièce jointe.
Le nom de la pièce jointe peut varier (ex : READER_DIGEST_LETTER.TXT.pif). Le point important, c'est le nom de l'extension (.pif), invisible dans la configuration ordinaire de Windows.
voir http://www.europe.f-secure.com/v-descs/mtx.shtml
http://claymania.com/mtx-removal-fr.html
Il est préférable de modifier Windows pour qu'il affiche le nom du fichier en entier (voir).

Hybris :

Virus de messagerie contenu en pièce jointe. Il en existe différentes variantes (32 paraît-il).
Il ne se propage pas par l'intermédiaire du Carnet d'adresses, comme d'autres virus de messagerie, mais en s'incrustant dans une bibliothèque Windows (wsock32.dll).

blanche.scr (ou autre)
Le sujet du message est : Les 7 coquins nains ou Blanche neige et ...les sexe nains
Infos sur :
http://vil.mcafee.com/dispVirus.asp?virus_k=98873&
http://www.f-secure.com/v-descs/hybris.shtml

Pour le supprimer :
http://claymania.com/hybris-removal-fr.html

Un site est consacré au virus Hybris (en anglais) :
http://www.sexyfun.net/

Kak (Wscript.kakworm) :

Autre virus similaire : VBS_TAM.A
(la méthode d'éradication manuelle est semblable pour les deux (voir texte).
Bubbleboy est également de la même famille.
http://support.microsoft.com/support/kb/articles/Q240/3/08.ASP

(voir aussi) Virus contenu dans un message en HTML. Il s'active à cause d'une faille de sécurité des versions d'Outlook Express antérieures à la 5.01 (problème corrigé pour la 5.01 et versions ultérieures).
Il n'est pas dangereux... Il se contente, le 1 de chaque mois à partir de 18h00, d'afficher un texte au démarrage de l'ordinateur. Mais il se propage si on rédige ses messages en HTML.

Pour s'en débarrasser :
http://claymania.com/kak-removal-fr.html
script de désinfection :
http://aspirine.altasecu.com/control.html?scripts

Pour éviter d'en être à nouveau victime :
- effectuer les mise à jour critique sur le site Windows Update, ou,
- installer le patch :
http://www.microsoft.com/windows/ie_intl/fr/security/eyedog.htm

W32.Sircam.worm :

Virus de messagerie contenu en pièce jointe. Très répandu actuellement.
L'objet du message et le nom de la pièce jointe sont aléatoires (pris dans les fichiers de l'ordinateur infecté). Le seul identifiant, pour sa version anglaise, c'est un mail commençant par : Hi! How are you? et finissant par : See you later. Thanks
La taille du message peut aller de 288 Ko à plus de 1.6 Mo.

Premier indice d'infection : présence d'un fichier scam32.exe dans Windows\System.

Infos sur :
http://www.sophos.fr/virusinfo/analyses/w32sircama.html (français)
http://www.sarc.com/avcenter/venc/data/w32.sircam.worm@mm.html (anglais)

Téléchargement d'un utilitaire pour l'éradiquer :
http://www.avp.ch/files/clrav.com (voir ci-dessous)
ou :
http://www.symantec.com/avcenter/FixSirc.com
ou :
http://www.sophos.com/support/faqs/sircam.html
- télécharger : rmsirc.bat

Méthode de désinfection avec clrav.com :

Je n'ai pas essayé cette méthode, et je ne la garantis pas. Mais c'est la procédure à suivre pour télécharger un programme Dos, et le lancer à partir d'une fenêtre Commandes MS-DOS.

1 Télécharger l'utilitaire de désinfection :
- cliquer sur http://www.avp.ch/files/clrav.com
- enregistrer le fichier sur le disque dur, en notant le dossier dans lequel il est enregistré (normalement, un dossier Téléchargement).

2 Déplacer le fichier à la racine de C:
- cliquer avec le bouton droit sur le dossier Téléchargement (ou équivalent),
- sélectionner Explorer,
Dans la fenêtre de droite :
- cliquer avec le bouton droit sur clrav.com, en maintenant le bouton appuyé,
- faire glisser le fichier sur l'icône C: de la fenêtre de gauche,
- relâcher le bouton, et sélectionner Copier.

3 Lancer clrav.com :
- menu Démarrer, Programmes, Commandes MS-DOS,
Dans la fenêtre :
- taper cd.. (cd deux points)
- taper clav

VBS/Haptime-A :

Alias : VBS/Help, Happy Time, VBS/Haptime@MM
voir :
http://www.sophos.fr/virusinfo/analyses/vbshaptimea.html
"Il essaie d'infecter les fichiers avec les extensions VBS, HTML, HTM, HTT et ASP. Il essaiera aussi de supprimer les fichiers EXE et DLL lorsque la somme du mois et du jour est égale à 13 (par exemple, le 7 juin)".

voir (anglais) :
http://www.symantec.com/avcenter/venc/data/vbs.haptime.fix.html

Codered Nimda :

Des infos sur ce ver qui attaque les serveurs web IIS :
http://www.cert-ist.com/francais/avis/CodeRedII_fr.htm (français)
http://www.symantec.com/avcenter/venc/data/codered.v3.html (anglais)
http://www.sophos.fr/codered.html (français)

Nimda :

Nimda est un virus style Codered, il s'attaque aussi bien aux serveurs qu'aux ordinateurs utilisant Internet Explorer et Outlook Express.
C'est un mail accompagné d'une pièce jointe appelée read.exe ou readme.exe
Un signe d'infection : la présence de fichiers *.eml répartis sur le disque.
Infos sur :
http://www.mmedium.com/cgi-bin/nouvelles.cgi?Id=5798
http://www.sophos.fr/virusinfo/analyses/w32nimdaa.html
http://www.symantec.com/avcenter/venc/data/w32.nimda.a@mm.html
http://www.cert.org/advisories/CA-2001-26.html

Logiciel pour éradiquer Nimda :
http://www.symantec.com/avcenter/venc/data/w32.nimda.a@mm.removal.tool.html

Badtransb :

Virus de messagerie contenu en pièce jointe.

Symptôme classique : Chaque pression sur la touche ^ affiche le double accent ^^.

voir :
http://www.secuser.com/alertes/2001/badtransb.htm :
"Le virus s'exécute automatiquement à l'ouverture du mail ou lors de son affichage dans la fenêtre de prévisualisation d'Outlook, si le navigateur est une version d'Internet Explorer 5.01 ou 5.5 non patchée contre une vulnérabilité MIME connue."