VIRUS

Envoyez vos remarques et informations à: Michel Vonlanthen

Les adresses indispensables concernant les virus:

Recherche de la description
et de l'éradication des virus:
Ce virus est-il une farce (hoax)? 



Mise à jour de l'antivirus:



 

Voici une suite chronologique de témoignages et d'informations sur les virus ainsi que les moyens de les éradiquer:

 

Octobre 2002

W32/Opaserv.Worm (de Michel Vonlanthen)

Ce virus agit un peu comme Bugbear et se propage à travers les réseaux locaux grâce à une faille de Windows 98. Sa présence se détecte par l'exsistence du fichier ScrSvr.exe dans la racine de WIndows ou autre. Le site de Symantec le décrit et en donne le remède: 

Le texte ci-dessus est un résumé de ce qui est écrit dans tous ses détails sur le site de Symantec.


Octobre 2002

Conseils pour se prémunir des virus (d'Eric Champion)
(Pour les utilisateurs d'Internet Explorer et d'Outlook de Microsoft)


2002 Octobre

Pour enlever le virus W32/BUGBEAR@MM  (de Emanuel Corthay)

Voici une explication un peu plus poussée pour enlever le virus. Les infos sont prises depuis:
http://securityresponse.symantec.com/avcenter/venc/data/w32.bugbear@mm.removal.tool.html

Et traduites ici:


2002 Octobre 

W32/BUGBEAR@MM (de Emanuel Corthay)

Je me permet de vous écrire, parce que la propagation de ce virus (qui a le doux nom de W32.bugbear@mm) parmi notre communauté cette semaine prends une ampleur sans précédent. L'historique de l'infection est donné ci-dessous, avec des informations sur le virus et la façon de l'enlever et de s'en prémunir. C'est long et compliqué, désolé. Si vous ne vous sentez pas concerné (votre antivirus l'a détecté et éradiqué,...) alors ce mail ne vous concerne pas, désolé pour le dérangement!

Principe d'action

Ce virus a la particularité de s'envoyer à toutes les adresses email présentes sur l'ordinateur infecté, en se faisant passer pour quelqu'un d'autre. Il vient avec un fichier joint en QuelqueChose.abc.exe ou .scr.  Si vous lancez le fichier attaché, vous serez infecté, et à votre tour vous enverrez malgré vous ce virus plus loin (à toutes les personnes présentent dans votre carnet d'adresse).  Pire, si vous avez une ancienne version d'outlook express, le simple fait de sélectionner le message lancera le virus, et il sera trop tard. Le virus est "intelligent", dans le sens ou une fois infecté, votre ordinateur va envoyer le virus à d'autres en utilisant un message que vous aviez reçu, et en modifiant l'expéditeur de façon à ce qu'il ne soit pas possible de savoir d'où il vient. On parle d'"email forgé", c'est à dire que l'expéditeur qui apparait dans le mail qui contient le virus n'est pas l'expéditeur réel. De même, le contenu du message n'a pas été écrit pas le soit disant expéditeur, mais est souvent pris dans la boite au lettre des messages que vous avez reçu. Ainsi, pensant que vous  venez de recevoir un email d'un amis, vous en vous méfiez pas, et trop tard, le virus infecte votre machine! 

Historique

Tout a commencé (de mon point de vue) mardi matin, par la réception de 5 mail infectés de ce virus, soit disant provenant d'Arnold. Le message provenait de quelqu'un chez Urbanet à Ecublens. Mon antivirus, tout à  fait à jour, me signale le virus immédiatement, j'évite l'infection. De fort soupçons planaient sur l'ordinateur d'Arnold. Après un téléphone, Arnold me communique qu'il fait le necessaire pour faire controler la machine, et la laisser éteinte en attendant. Le lendemain, je reçoit le même virus de soit disant "Pierre". Le sujet annonce "Salutation", et le texte du message est a peu près ceci: Cher ami, Je suis allé vendredi au stamm et espérais faire une bonne fo=r> is ta <...> tous mes voeux pour une bonne guérison. Une rencontre sera pour une prochaine. Amitiés de Pierre. Il semble que le virus ait réutilisé un ancien message reçu par Arnold pour se propager. Un fichier joint (pruneau.ppt.scr) contenant le virus est bien entendu joint avec le message. J'ai pu identifier l'origine du message comme suit: Received: from (supprimé pour cause de confidentialité). Il semble provenir d'Arnold, qui se connecte via bluewin cette fois-ci (pas de certitude toutefois, il faut rester prudent!) 

Peu après, je reçois un message soit disant de Herbert, qui contient un tout petit message en plus du virus lui même, uniquement la signature de Herbert avec l'adresse postale et numéro de téléphone. Hier samedi, réception de 9 (!!!) messages provenant de moi (!!!), c'est drôle de recevoir des messages qu'on a jamais envoyé! intitulé "Félicitations!!!". C'était un message que j'avais envoyé au comité au mois de juin 2002. Le virus a donc attaqué un membre du comité cette fois.  Il vient de swissonline: Received: (supprimé pour cause de confidentialité)Après recherche, il pourrait s'agir de André, qui a peut être été infecté à son tour, probablement en ouvrant le message soit disant "d'Arnold" (vous suivez toujours?).  Après un échange de tél, il me signale qu'il a un antivirus à jours. Nouvelle recherche, nouveau message, intitulé "Re: Organisation du passeport vacances 13 juillet" Cette fois, c'est plus clair, c'est un message que j'ai envoyé à l'époque à Daniel. C'est donc probablement lui qui c'est fait infecté cette fois! Comme dans les autres cas, aucunes certitudes sur la personne infectée n'est toutefois possible... Je suppose que beaucoup d'entre vous l'on reçu! Effacez le au plus vite sans même l'ouvrir! 

Remarquez que l'adresse email du soit disant expéditeur (moi) a été modifiée de façon à ce qu'une "réponse" au mail ne marche pas. L'adresse donnée par le virus (emanuel@smile.ch) n'est pas correcte. Seul la première partie l'est. En effet, je n'ai jamais eu d'adresse email chez smile.ch!!! Samedi soir: Réception d'un message en provenance de "Maurice" intitulé "Hi!" et ne contenant rien d'autre que le fichier avec le virus.  Recu depuis: (supprimé pour cause de confidentialité). Après discussion avec Maurice, il ressort qu'il s'est très probablement infecté par le virus... Tout ceux qui sont sur son carnet d'adresse ont donc probablement reçu ce message/virus... 

Information sur le virus, W32.bugbear@mm: Norton antivirus (http://www.symantec.fr/region/fr/avcenter/bugbear.html) ) donne les informations suivantes sur ce virus:

Un virus se propage rapidement, W32.bugbear@mm. L'équipe de Symantec Security Response a reçu à ce jour 40 soumissions de clients entreprise et plus de 2000 soumissions d'utilisateurs particuliers. Les prévisions, suite à l'accélération du taux de propagation, sont de 2000 nouvelles soumissions par jour.  Ce virus contre lequel la protection et un outil de réparation sont disponibles depuis le 30 septembre connaît une propagation accrue depuis le 2 octobre. Distribution: Large, Dommage: Moyen. 
La pièce jointe au message aura comme extension .scr, .pif ou .exe, le nom de la pièce jointe peut inclure certains mots prédéfinis, mais peut aussi être créé par le virus qui va analyser les fichiers présents dans le répertoire "Mes Documents" sur l'ordinateur. Une fois le système infecté, le virus aura trois actions principales : Il tentera de désactiver le firewall personnel ou l'antivirus présent sur la machine. (ndlr: Torpiller votre antivirus si celui-ci n'avait pas une définition de virus assez récente pour le détecter!). Il récupèrera des adresses email dans le carnet d'adresse du logiciel de messagerie et utilisera son propre moteur SMTP pour s'envoyer.  Il installe un cheval de Troie sur le PC qui peut  permettre au pirate de supprimer des fichiers, copier des fichiers, arrêter des programmes en cours d'exécution,  enregistrer les frappes clavier etc. Also Known As: W32/Bugbear-A [Sophos], WORM_BUGBEAR.A [Trend], Win32.Bugbear [CA], W32/Bugbear@MM [McAfee], I-Worm.Tanatos [AVP], W32/Bugbear [Panda], Tanatos [F-Secure]  Type: Worm Infection Length: 50,688 bytes  Systems Affected: Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me Systems Not Affected: Macintosh, Unix, Linux 

Pour tous les détails en anglais Innoculité: Si vous avez reçu un des messages cités ci-dessus, ou si vous avez reçu un message bizarre d'un ami cette semaine, il y a de forte chance que vous soyez infectés. Ceux qui ont pu éviter l'infection sont 
- Les personnes qui possèdent un antivirus avec une mise à jours de la définition de virus récente (après le 30 septembre 2002).
- Ceux qui ont un système d'exploitation récent genre windows XP, ou qui ont mis à jours leur outlook express (peut se faire sur windowsupdate.microsoft.com) pour éviter que le virus ne puisse se lancer sans même que vous n'ayez à lancé le fichier joint ET qui n'ont pas double cliqué sur le fichier joint. 
- Ceux qui n'utilise pas outlook comme client de mail

Savoir si vous êtes infecté

Suivre les instructions sur http://securityresponse.symantec.com/avcenter/venc/data/w32.bugbear@mm.html
C'est assez compliqué malheureusement, et en anglais...

Conclusion/action

Si vous pensez être infecté, utiliser le moins possible votre ordinateur avec internet avant d'avoir fait la chose suivante: 
- Installer un antivirus, et le mettre à jours via internet avec la dernière version de définition de virus.
- Scanner tout le disque dur avec l'antivirus.
Ou essayer l'outil suivant :
http://securityresponse.symantec.com/avcenter/venc/data/w32.bugbear@mm.removal.tool.html

Recommandation générales

- Achetez un antivirus! C'est indispensable si vous êtes connectés à internet! Mettez le à jours régulièrement (installer l'option mettre à jours automatiquement) avec une définition de virus récente.
- Mettez à jours votre windows sur windowsupdate.microsoft.com
- Ne jamais ouvrir de fichier reçu par mail si vous n'êtes pas 100% sûr de ce que c'est!!! Un virus peut très facilement usurper l'identié de l'expéditeur!