ORIX ™ PC-Assistance
Présentation société

SERVICES
Domaines d'intervention
Rayon d'intervention
Délais d'intervention
Taux de réussite

TARIFS
Promotions actuelles
Nos tarifs
Les modalités

INFOS
Virus informatiques

NEWS
Dernières infos

WWW LINKS
Liens professionnels
Liens home-pages
Liens divers

PRIVE
Home-page privée
Le délirium
Aviation

SWISSCENTER - hébergement de sites web en Suisse
 
Logo ORIX PC-Assistance
Assistance, dépannage, et services en informatique
 

[Dossiers Archives] / Actualités virus
 
(30.07.2001) - FLASH-INFO

Le Virus Sircam

Depuis quelques jours, le virus Sircam fait parler de lui. En effet, ce ver a la capacité de s'envoyer par email à tous les contacts du carnet d'adresses d'Outlook, ce qui permet sa diffusion rapide.
Ce ver est très dangereux puisqu'il peut supprimer toutes les informations contenues sur votre disque dur !

  • Tous les jours, 1 PC (infecté) sur 50 se voit rempli avec le fichier:
    \recycled\sircam.sys
  • Le virus attend le 16 octobre pour formater 1 PC (infecté) sur 20 !

La menace n'est donc pas à prendre à la légère

Le virus Sircam arrive dans un email avec une pièce jointe, généralement envoyée par une personne tel que connaissance, employeur, amis, etc...

Dans la plupart des cas, la première ligne du message est:
Hi! How are you?

Ensuite, le texte varie avec l'une des phrases suivantes:
I send you this file in order to have your advice
I hope you can help me with this file that I send
I hope you like the file that I send to you
This is the file with the information that you ask for

Enfin, cette phrase est présente : See you later. Thanks

Le message peut également arriver en espagnol : ¿Hola como estas?

Le fichier joint contenant le virus possède une double extension.

Exemple:    Planning 2001.xls.pif
Attention:   Selon vos réglages, l'extension .pif n'est pas toujours visible.

NE JAMAIS OUVRIR LA PIECE JOINTE

Et pensez à mettre à jour vos anti-virus ! Bonne journée, et bon surf !

 
Informations sur le virus: CREATIVE.EXE

Pour votre information, un virus important a été annoncé vendredi soir: 1.12.2000 par la société McAfee.

Pour confirmer l'alerte: http://www.mcafee.com/anti-virus/viruses/prolin/default.asp?cid=2000
Mode de contamination: Internet, par e-mail
Sujet de l'e-mail "A great Shockwave flash movie"
Corps de l'e-mail "Check out this new flash movie that I downloaded just now ... It's Great Bye"
Fichier attaché au courrier: CREATIVE.EXE
Conséquences: Perte de fichiers .JPG et .ZIP
Nom technique: W32/ProLin@MM
De MOYEN à HAUT-RISQUE.
Cet e-mail arrive avec un fichier joint nommé: CREATIVE.EXE, l'icône de ce fichier représente une application de "Shockwave" Media Player.Une fois le fichier CREATIVE.EXE lancé, il repère, renomme et efface tous les .JPG et le .ZIP qu'il trouve sur le système. Puis il envoie une copie de lui-même à tous les correspondants de votre carnet d'adresse (en bref, une belle pagaille !).
NE PAS OUVRIR LE FICHIER-JOINT !
Par sécurité jeter l'e-mail concerné à la corbeille, puis vider cette même corbeille.
 

Dossier virus "I love You"
 
                       Après I Love you... voici:                    



NEW LOVE
(VBS/Newlove.a)
Plus puissant, plus destructeur, plus furtif !
C'est un ver de type: POLYMORPHE

Ses champs de batailles actuels sont:
les Etats-Unis, le Royaume Uni, et Israël.
Un seul moyen préventif et efficace:

1. Afficher toutes les extensions de fichiers  (dans les préférences d'affichage d'Explorer).
2. Ne cacher aucun fichiers, systèmes, etc...  (dans les préférences d'affichage d'Explorer).
3. Ne jamais ouvrir les fichiers se terminant par *.VBS
4. "Essayer" tout de même, de mettre à jour son Anti-Virus.
 
Tous les détails sur le virus "I love you"
Les dernières infos concernant le virus (9.05.2000)
 

Ce virus lancé le 4 mai 2000 au petit matin, ou plutôt ce ver, pose un danger conséquent aux utilisateurs de Visual Basic Script pour Windows.

En clair, ce sont:
- les utilisateurs de Windows 98
- les utilisateurs qui ont installé par défaut IE 5.x
- les utilisateurs qui ont installé WSH spécifiquement
- et probablement les utilisateurs de Windows 2000.
Qui sont susceptible d'être touchés par ce virus.

Le ver se répand seulement sur les machines infectées, où sont installés Outlook 98 ou Outlook 2000. Par contre, il endommage ou détruit des fichiers même si Outlook n'est pas utilisé.

Le ver est reçu par une connexion e-mail ou par l'intermédiaire d'un canal lRC (mIRC32 par exemple). Si l'utilisateur n'ouvre pas le fichier joint (double-clic), le ver ne s'exécutera pas, et ne fera aucun dommage.

S'il est reçu par l'intermédiaire d'un e-mail, l'objet: du message est "ILOVEYOU" et le corps du message indique:

"kindly check the attached LOVELETTER coming from me."

Le nom du fichier joint est LOVE-LETTER-FOR-YOU.TXT.vbs (qui, si le système est configuré pour ne pas montrer les extensions des fichiers, ressemblera un simple fichier TXT pour l'utilisateur).

S'il est reçu par l'intermédiaire d'un canal IRC, il réside dans un fichier nommé LOVE-LETTER-FOR-YOU.HTM.

Une fois exécuté, le ver tire des copies de lui-même sous les noms MSKernel32.vbs et LOVE-LETTER-FOR-YOU.TXT.vbs dans le répertoire de \Windows\System, ainsi que sous le nom de Win32DLL.vbs dans le répertoire \Windows. Puis, il modifie la base de registre, de sorte que les fichiers Win32DLL.vbs et MSKernel32.vbs soient exécutés, à chaque démarrage de Windows.

Ensuite, le ver modifie la base de registre, changeant la page de démarrage d'Internet Explorer, de sorte que quand l'IE démarre, il télécharge un fichier nommé WIN-BUGSFIX.exe (ainsi que Winfat32.exe) de l'un des 4 sites possibles sur http://www.skyinet.net (aléatoirement choisi) et la base de registre est à nouveau modifiée, de sorte que ce fichier soit exécuté au prochain démarrage de Windows.

Le ver créée ensuite une version HTML de lui-même, dans un fichier nommé LOVE-LETTER-FOR-YOU.HTM dans le répertoire \Windows\System.

Ensuite, le ver démarre une copie d'Outlook en arrière plan (seulement avec les versions Outlook 98 ou 2000 - mais pas avec les versions d'Outlook 97 ou d'Outlook Express). Il examine tous les carnets d'adresses d'Outlook et, si un carnet d'adresses d'Outlook contient plus d'adresses que le carnet d'adresses de Windows, le ver s'envoie lui-même à toutes les adresses du carnet d'adresses d'Outlook (le ver ne s'envoie pas lui-même aux adresses du carnet d'adresses de Windows).

Pour terminer, le ver examine tous les répertoires situés sur les disques-dur et ceux du réseau. Si un fichier a une des extensions suivantes: VBS, VBE, JS, JSE, CSS, WSH, SCT, HTA, MP2, MP3, JPG ou JPEG (BAT, INI, WAV, MID, COM, GIF et BMP pour certaines variantes) le ver écrase le fichier avec une copie de lui-même. Si l'extension n'était pas VBS ou VBE, le ver ajoute l'extension VBS au nom du fichier - de sorte que, par exemple, PICTURE.JPG devienne PICTURE.JPG.VBS. Au cas où un fichier MP2 ou MP3 était repéré et écrasé, le ver place également l'attribut du fichier à ReadOnly (lecture seule).

Si, durant cette recherche, un quelconque des fichiers suivants est trouvé:
mirc32.exe, mlink32.exe, mirc.ini, script.ini, mirc.hlp, le ver place dans le répertoire un fichier nommé SCRIPT.INI qui débute par les commentaires suivants:

; mIRC Script
; Please dont edit this script... mIRC will corrupt, if mIRC will corrupt... WINDOWS will affect and will not run correctly. thanks
;
; Khaled Mardam-Bey
; http://www.mirc.com

Ce fichier essaye d'envoyer le fichier LOVE-LETTER-FOR-YOU.HTM à partir du répertoire \Windows\System par l'intermédiaire de la commande /DCC d'IRC, à tous les utilisateurs rejoignant le canal d'IRC sur lequel l'utilisateur infecté se trouve.

Le ver ajoute ou modifie les clés de la base de registre suivantes:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download Directory
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page
HKEY_CURRENT_USER\Software\Microsoft\Windows Scripting Host\Settings\Timeout
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Win 32DLL

Le fichier WIN-BUGSFIX.exe est un "Backdoor" (cheval de troie) créée aux Phillippines qui rassemble les mots de passe cachés du réseau Windows et les envoie à l'adresse suivante: MAILME@SUPER.NET.PH lorsque l'utilisateur infecté se relie à Internet.

 

 
Liste des variantes de: I love you
(liste du 9.5.2000)
Attention: voici la liste des "dérivés" de "I love you" que l'on peut retrouver dans sa boîte aux lettres:
VBS.LoveLetter.A
SUBJECT: ILOVEYOU
ATTACHMENT: LOVE-LETTER-FOR-YOU.TEXT.vbs
VBS.LoveLetter.B
SUBJECT:
Susitikim shi vakara kavos puodukui...
ATTACHMENT: LOVE-LETTER-FOR-YOU.TEXT.vbs
VBS.LoveLetter.C
SUBJECT:
Joke
ATTACHMENT: Very Funny.vbs, Very Funny.HTM
VBS.LoveLetter.D
SUBJECT: ILOVEYOU
ATTACHMENT: LOVE-LETTER-FOR-YOU.TXT.vbs
VBS.LoveLetter.E détruit les INI et BAT
SUBJECT: Mothers Day Order Confirmation
ATTACHMENT: Mothersday.vbs
VBS.LoveLetter.F
SUBJECT: Dangerous Virus Warning
ATTACHMENT: virus_warning.jpg.vbs
VBS.LoveLetter.G détruit les BAT et COM
SUBJECT: Virus ALERT!!! (from symantec)
ATTACHMENT: protect.vbs
VBS.LoveLetter.H
SUBJECT: ILOVEYOU
ATTACHMENT: LOVE-LETTER-FOR-YOU.TEXT.vbs
VBS.LoveLetter.I
SUBJECT: Important ! Read carefully !!
ATTACHMENT: IMPORTANT.TXT.vbs
VBS.LoveLetter.J
SUBJECT: How to protect yourself from the ILOVEYOU bug!

ATTACHMENT: Virus-Protection-Instructions.vbs
VBS.LoveLetter.K
SUBJECT: Thank You For Flying With Arab Airlines

ATTACHMENT: ArabAir.TXT.vbs
VBS.LoveLetter.L replace les GIF et BMP ainsi que les WAV et MID
SUBJECT: ILOVEYOU
ATTACHMENT: LOVE-LETTER-FOR-YOU.TEXT.vbs
VBS.LoveLetter.M
SUBJECT: Bewerbung Kreolina
ATTACHMENT: BEWERBUNG.TXT.vbs
VBS.LoveLetter.O
SUBJECT: ILOVEYOU
ATTACHMENT: LOVE-LETTER-FOR-YOU.TEXT.vbs
VBS.LoveLetter.P
SUBJECT: Variant Test
ATTACHMENT: IMPORTANT.TXT.vbs
VBS.LoveLetter.Q
SUBJECT: Yeah, Yeah another time to DEATH.
ATTACHMENT: LOVE-LETTER-FOR-YOU.TEXT.vbs
VBS.LoveLetter.R
SUBJECT: PresenteUOL
ATTACHMENT: UOL.TXT.vbs
VBS.LoveLetter.S
SUBJECT: AVERT is analyzing and will have a description shortly.
ATTACHMENT: --
IRC.LoveLetter
SUBJECT: ILOVEYOU
ATTACHMENT: LOVE-LETTER-FOR-YOU.TEXT.vbs
VBS/FriendMess
SUBJECT: FRIEND MESSAGE
ATTACHMENT: FRIEND_MESSAGE.TXT.vbs
VBS.LoveLetter.T
SUBJECT: Recent Virus Attacks-Fix
ATTACHMENT: BAND-AID.DOC.vbs
VBS.LoveLetter.V
SUBJECT: ILOVEYOU
ATTACHMENT: LOVE-LETTER-FOR-YOU.TEXT.vbs
VBS.LoveLetter.X
SUBJECT: NEUE ANTI-VIRUS-LISTE
ATTACHMENT: ANTI-VIRUS-LISTE.TXT.vbs
Les variantes ci-dessus, sont toutes prises en charge par l'antivirus McAfee, depuis hier matin déjà ! Téléchargez la mise à jour (*.dat) de McAfee.
 
  • Enfin, la meilleur façon de se protéger étant de mettre à jour son antivirus, voici toutes les adresses où trouver les dernières versions de ces logiciels, ainsi que leurs mises à jour.
 
Norton Antivirus
McAfee VirusScan
Panda Antivirus
 

 

Après avoir exploité les macros d'Office avec Melissa, les développeurs de virus emploient cette fois le Visual Basic Script, un langage de script pour Windows. Ce dernier possède des points d'entrée dans certaines applications, notamment celles de Microsoft.

Le mode de propagation de "I LOVE YOU" devrait faire réfléchir l'éditeur de Windows: sans la fonction de support du VBS intégrée à Outlook Express, le ver ne se serait pas propagé. Une fonction qui de plus, n'est pas indispensable pour une utilisation courante et usuelle d'Internet.

 

 
Participez au dialogue !Go Top Page
 
Une remarque ? Besoin d'aide ?
Avez-vous besoin d'aide, ou d'assistance technique ?
Laissez-nous votre message par e-mail.
 

Vous êtes   à avoir visité notre site.
Copyright © 1997-2017 by OPCA / Mise à jour le 13.01.2017 par Rolf WeissGo Top Page