[VIR] Virus usurpant un patch Microsoft.

Steelskinz · Post by **Steelskinz** » 23 Sep 2003 - 17:07:59

Un nouveau ver se propage actuellement sur l'Internet, se faisant passer pour un correctif de Microsoft. Le ver met se transmet en tant que pièce jointe à un e-mail. Le e-mail lui est au format HTML, et usurpe la mise en page et le logo de Microsoft, et propose à ses destinataires d'installer un soi-disant correctif (patch).
La partie visuelle du ver est particulièrement bien soignée: le e-mail ressemble à un e-mail "officiel"de Microsoft et l'icône de la pièce attachée ressemble à celui d'un correctif Microsoft. A son exécution le ver continue à jouer le jeu en imitant un vrai programme d'installation, en affichant des écrans d'installation, des messages d'erreur ressemblant à ceux d'un correctif etc.

FONCTIONNEMENT DU VER :

Une fois exécuté, le ver tente d'arrêter les anti-virus, firewalls personnels et autres utilitaires de sécurité présents sur la machine pour les rendre inopérants. Ceci en recherchant les noms de leurs processus, noms tels que :

vscan
vettray
vet98
vet95
vet32
vcontrol
vcleaner
tds2
tca
sweep
sphinx
serv95
safeweb
rescue
regedit
.

Il s'ajoute ensuite au démarrage du système et peut modifier les clés registres suivantes :

HKCR\exefile\shell\open\command
HKCR\regfile\shell\open\command
HKCR\comfile\shell\open\command
HKCR\batfile\shell\open\command
HKCR\pifile\shell\open\command
HKCR\scrfile\shell\open\command
HKCR\scrfile\shell\config\command

Le ver recherche ensuite des adresses e-mail dans les carnets d'adresses de Microsoft Outlook pour s'envoyer à d'autres destinataires, en bricolant un e-mail avec un sujet et nom de fichier aléatoire, la pièce jointe étant un fichier .EXE ou .ZIP.
Il tentera également se copier dans les répertoires de partage des logiciels peer-to-peer Kazaa et IRC ( si ceux-ci sont installés sur la machine ), afin d'inciter des utilisateurs distants à télécharger le soi-disant correctif et se faire infecter à leur tour.

RAPPELS DE SECURITE :

- Microsoft n'envoie jamais de correctifs par e-mail. Tout e-mail prétendant parvenir de la part de Microsoft vous incitant à cliquer sur une pièce jointe, est une tromperie.

- Une pièce jointe exécutable ne doit jamais être exécutée à moins de savoir pourquoi on vous l'envoie. N'oubliez pas que des personnes que vous connaissez peuvent vous envoyer un e-mail infecté à leur insu, lorsque ceux-ci sont eux-mêmes victimes d'un ver.

- Suite aux dernières failles découvertes sur les plateformes Windows, il est très important d'appliquer les correctifs de sécurité en lançant la procédure Windows Update. Surtout sur plateformes Windows NT4, 2000, XP et Server 2003.

- Ne partagez pas vos fichiers sur le réseau lorsque vous surfez sur l'Internet si vous n'avez pas de Firewall.

Autre sources :
>> http://www.tf1.fr/news/multimedia/0,,1372433,00.html <<

pharaonix · Post by **pharaonix** » 23 Sep 2003 - 18:14:14

bon, je ais faire vite. au jourdhui dans la boite, 360 pc et 15 serveurs ont ete infecté malgré un antivirus a jour par un nouveau virus, et cest aps swen.
le virus, cest w32.randex.F cest une sorte de variante de blaster, il utilise rpc mais d'une autre facon, le patch du depart ne suffit pas pour lui et en plus il installe un trojan qui pik des infos etdes clés de logiciels avant de lenvoyer via des pports comme le 80 ou irc(si je me rappelle bien)

bref, tout ca pour dire, que commme je me ramene a la boite avec mon propre portable, j'ai scanné mon prtable au cas ou. donc norton, (a moi) me dit quedalle
etrust et mcafee (a la bvoite ) me trouvent quedalle ouf!!

mais nan

jessaie le syscleaner de trendmicro(7Mo, 11Mo decmpressé) et celui là, ma deja trouvé deux trojan troj jsutin.a, et hktl_dcom.f, un virus, pe.parite.a et un un autre virus dans le logiciel ipc et le scanne nest pas fini.
donc je le CONSEILLE FORTEMENT A TOUS, le scann peut etre long,voire tres tres long

(i scanne deux fois au cas ou) mais il en vaut la peine

franchement, cest gratuit et cest petit, PRENEZ sysclean de trendmicro

Post by **Shub** » 25 Sep 2003 - 20:07:49

Donne les liens direct

pharaonix · Post by **pharaonix** » 26 Sep 2003 - 07:55:48

je l'avais pas a ce moment, et faut aller les changer car la mise a jour n'est pas auto:
là

Le Vampire · Post by **Le Vampire** » 26 Sep 2003 - 18:28:02

Bonjours tlm moi quand j'ouvre ce programme sa me dit :

Pattern file "LPTSVPN.*" is missing, Please download a copy.

:crying:

Magicking · Post by **Magicking** » 26 Sep 2003 - 19:38:12

Pourquoi vous ne prenez pas un Mac(revendez votre Pc...

) c'est bien un Mac et puis les virus sont moins courant quand même c'est pas possible sa...

Ps: Je crois pas que il y est de version d'half-life 2 pour Mac...

pharaonix · Post by **pharaonix** » 27 Sep 2003 - 19:12:43

Bonjours tlm moi quand j'ouvre ce programme sa me dit :

Pattern file "LPTSVPN.*" is missing, Please download a copy.

:crying:

ah?
je crois qu'il te faut telecharger le pattern. cest le fichier qui contient la liste des virus, mais comme faut le mettre a jour souvent, faut aller le chercher. sur la page d'accueil, tu trouvera un lien.
cest bien! au moins un qui sinquiete pour son pc et il a raison!!!

Post by **Shub** » 27 Sep 2003 - 21:51:38

oui il faut aller ici pour télécharger la DLL et les signatures
http://www.trendmicro.com/download/pattern.asp