Reprise du message précédent :
ok, m'en doutais

Microsoft Corporation - Windows XP family
 
Outil de suppression de logiciels malveillants Windows - Mars 2005 (KB890830)
 
 
est dispo sur Windows Update, vous savez ce que c ?

Il semblerait que Microsoft propose TOUS les mois (depuis février 2005   ) un outil de vérification/suppression de certains virus types blaster & Co... ça annonce doucement un antivirus made in Microsoft    
 
extrait:
"Après le téléchargement, cet outil est exécuté une fois pour vérifier si votre ordinateur est infecté par certains virus courants (notamment Blaster, Sasser et Mydoom) et aide à supprimer automatiquement toutes les variantes détectées. Après son exécution, l'outil est supprimé de l'ordinateur. Une nouvelle version de cet outil sera proposée chaque mois. "
 
ou la
 
PS: keski fé encore Minipouss il est pas derrière son écran      

ha ok, nikel , j'avais loupé cette épisode
 

 
 
 Alors ?
 
ton ordi est mort ?  

ben j'ai deja éteint/rallumé mon pc et il semble pas y avoir de probleme.
pas de processus louche à l'horizon et pas de plantage.
là je lance le scan trendmicro, la seule raison potable pour devoir lancer IE.
en tout cas il semble que le fichier ce soit pas éxécuté quand j'ai cliqué dessus sur MSN. tant mieux, mais ce qui m'étonne c'est que les responsable de msn hotmail signalent pas que ya un gros trou de sécurité dans leur soft.
peut-etre la peur de perdre des millions d'utilisateurs?

- le trou de securite a ete signalé
 
- le scann online de trend marche avec mozilla chez moi

ah le scan passe sous firefox maintenant?
autant pour moi, j'avais testé ya qqs mois sans succes vu qu'il demandait de l'activeX.
pour la faille oui ça a été signalé mais les utilisateurs ont pas reçut par exemple un email ou un message automatique le signalant, en tout cas pas moi.

 
Comme toujours la plus grosse faille se situe entre la chaise et la clavier  

okz : je me couche à des heures raisonnables moi
 
Vanloque : d'accord avec BMenez, c'est pas un trou de sécurité dans MSN, c'est juste un virus qui s'envoie à tous les contacts MSN de la même façon que les vers s'auto-envoient par mail (là tu ne dis pas que c'est une faille de tous les logiciels de courrier)
 
Et oui le scan de Trend est fonctionnel sous tous les navigateurs car il utilise java (faudra peut-être que je vois ça de plus près pour voir si la version activeX existe toujours ou pas pour mettre à jour ma première page)

 
Tellement vrai

yep mais il faut passer par l'url suivante http://fr.trendmicro-europe.com/co [...] launch.php

 
 
tellement bien dis  

a l aide
 
 
mon pc reboot sans cesse sans raison depuis aujourdhui
 
pas moyen de faire un scan anti virus en ligne ou avec un logiciel quelconque, ca reboot dès que je lance quoique ce soit
 
voici mon log hijack this qui pourra peut etre vous permettre de m aider  
 
(j arrive meme pas a reformater, ca plante avec un bel écran bleu pendant le debut de l install de windaube...) je suis sur sp2
 
Logfile of HijackThis v1.99.0
Scan saved at 20:53:10, on 10/03/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Répertoire temporaire 1 pour hijackthis_199.zip\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://forum.hardware.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NVMixerTray] "C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SVCHOST] C:\windows\SVCHOST.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\KEM.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 5800812331
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ [...] loader.cab
O23 - Service: Adobe LM Service - Unknown - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: kavsvc - Kaspersky Labs - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe
 
 
 
 
 
merci d'avance

1/ c'est pas le topic pour parler de ça, pas de log HJ ici stp
 
2/ la seule chose louche que je vois c'est "O4 - HKLM\..\Run: [SVCHOST] C:\windows\SVCHOST.EXE" mais il ne se retrouve pas dans les processus donc je ne pense pas que ce soit ça qui fasse merder ton pc

SVCHOST.EXE , c des service Windows XP.

dsl d avoir posté sur le mauvais topic mais mon pc reboot à une telle vitesse que g pas trop eu le tps de chercher

non, le bon se trouve dans \windows\system32\, pas directement dans \windows\ et il ne se trouve pas non plus dans les clés RUN de la bdr

 
spa grave  

 
 
correct

merci

poru Trendmicro, je l'utilise tellement peu souvent que j'avais pas vu qu'il ya une version java.
j'ai fait un scan, tout ce qu'il a trouvé c un virus caché dans mon fichier java jre2 alors que j'ai la toute derniere version qui justement n'a plus la faille qui le rendait vulnérable.
enfin bon, probleme réglé et pas de conséquences du virus msn.
oui le maillon faible c'est moi, mais en attendant j'ai toujours pas choppé de virus, j'ai pas d'AV d'installé qui me bouffe mes ressources et la seule fois où j'en ai eu un vrai méchant c'est apres un formattage en ayant installé la connexion internet et où je ne m'étais pas dépéché de lancer winupdate... donc j'avais eu un joli blaster, mais réglé à la main en virant les processus et les doubles dans system32

c le mm style du mec qui avait trouvé une faille dans le systeme de carte a puces, lui aussi condamné.

Bon la réponse ce trouve surement dans le premier mégapost mais c'est beaucoup trop long à lire
Donc voila je me suis pris par msn ça:

Ce message à été ensuite envoyé à toute ma contactlist.
 
Et 2 jours après, ça envoie ça à toute ma contactlist :

 
Je fais comment pour nettoyer tous ça?J'ai winxp sp2 toutes les MAJ étaient faites, je viens d'installer norton 2005 avec toutes les MAJ mais il a rien touver.
Need help

Le premier post n'est pas si gros que ça car il y a un post par catégorie (failles MS, failles autres logiciels, virus) et chaque post est dans l'ordre chronologique avec les derniers virus en haut  
 
Norton le détecte depuis plus d'une semaine donc spa normal

moi c bon, rien en vue, pc propre
et j'ai installé Peerguardian hier soir pour voir vu qu'il fait bcp parler de lui.
il est donc en surcouche de Sygate Firewall, et il arrete pas de bloquer des IP, donc je vois qu'on cherche à me faire chier toute la journée

## Vulnérabilité critique dans plusieurs produits Mac Afee ## McAfee Multiple Products LHA File Handling Buffer Overflow Secunia Advisories 18/03/2005 et McAfee Antivirus Products LHA Archive Stack Overflow Vulnerability bulletin K-Otik 18/03/05
Versions concernées :  

• McAfee Active Mail Protection, Active Threat Protection,Active Virus Defense SMB Edition et Active VirusScan SMB Edition
• McAfee GroupShield 6.x for Microsoft Exchange, GroupShield for Exchange 2000 5.x, GroupShield for Exchange 5.5 v4.x et v5.x, GroupShield for Lotus Domino on AIX 5.x, GroupShield for Lotus Domino on Windows 5.x, GroupShield for Mail Servers with ePO et LinuxShield 1.x
• McAfee Managed VirusScan, Netshield for Netware 4.x, PortalShield for Microsoft SharePoint, SecurityShield for Microsoft ISA Server, Virex et WebShield SMTP 4.x
• McAfee VirusScan 4.x, 8.x/2004, 9.x/2005, Command Line, Enterprise 8.x, NetApp et Professional 7.x

Description : Cette vulnérabilité est due à une "boundary error" dans le moteur de scan de l'antiVirus lors de l'étude d'archives LHA et peut exploitée pour créer un "buffer overflow" par une archive LHA spécialement forgée. CEla permet ensuite l'exécution de codes arbitraires sur le pc.
Solution : mettre à jour à la fois la signature de virus (.dat) et le moteur de scan de l'antivirus à la version 4400.
 
## Mozilla/Firefox/Thunderbird spoofing ## Firefox "Save Link As..." Status Bar Spoofing Weakness, Thunderbird "Save Link Target As..." Status Bar Spoofing Weakness, Mozilla "Save Link Target As..." Status Bar Spoofing Weakness Secunia Advisories 14/03/2005 et Firefox Link in Embedded Table Lets Remote Users Spoof the Status Bar Contents SecurityTracker Archives 14/03/2005  
Versions concernées :  

• Firefox 0.x et 1.x
• Thunderbird 0.x et 1.x
• Mozilla 1.7.x

Description : Bien que par défaut il ne soit pas possible par javascript de manipuler la barre d'état, on peut le faire par simple utilisation de code HTML et ainsi faire cliquer un lien à un utilisateur en lui masquant l'url réelle de destination ou même lui faire télécharger un fichier vérolé sans qu'il le sache. En effet, ce moyen permet aussi bien de montrer une url incorrecte dans la barre d'état lors du passage de la souris sur un lien que lors d'un clic-droit et d'un "Enregistrer liens sous...".

Solution : faire gaffe sur les sites que vous ne connaissez pas

Cette MAJ de malade
 
Good job Minipouss  
 
(Penser à mettre à jour les Mozilla et les Acrobat Reader du boulot pour lundi )

omg

bah non c'est une erreur
 
j'ai remis à jour les failles pour les logiciels connus et au lieu de remplacer le 3ème post je l'ai mis ici à la fin

Ah c'est mieux comme ça

Voui, il me reste quand même un ou deux virus et deux failles MS pour ce soir encore

ha me disais aussi, y'avais des truc un peu old school

## Deni de Service sous Windows 2000 par fichier EMF ## Microsoft Windows EMF File Denial of Service Vulnerability Secunia Advisories 18/03/05 et Windows 2000 GDI32.DLL GetEnhMetaFilePaletteEntries() API specially crafted EMF file DOS vulnerability SecurityFocus Bugtraq 17/03/2005
Descriptif : Cette vulnérabilité est due a une erreur dans le traitement des fichiers EMF (Microsoft Enhanced MetaFile) dans l'API "GetEnhMetaFilePaletteEntries()" de "GDI32.DLL". Cela peut être exploité pour planter une application qui utiliserait cet API vulnérable.
 
Versions vulnérables : Windows 2000 Professional, Server, Advanced Server et Datacenter Server
 
Solution :  pas de solution officielle pour le moment. Conseil : ne regarder que des fichiers EMF connus ou de sites sérieux.
 
## Attention à cette vulnérabilité sous InfoPath dans Office 2003 ## Microsoft Office InfoPath 2003 May Disclose System and Authentication Information to Remote Users SecurityTracker Archives 16/03/2005 et Description de considérations sur sécurité et considérations de confidentialité pour formulaires que vous créez dans Office InfoPath 2003 Service Pack 1 Base de Données Microsoft
Descriptif :

Solution :  pas de solution officielle pour le moment. Microsoft le décrit dans sa base de données.

et pour finir ce soir, les virus
 
/!\ Nouveau virus Chod /!\ W32.Chod@mm (Symantec), W32/NoChod@MM (Mac Afee) et WORM_CHOD.A (Trend)
Propagation :  

• par mail en anglais à toutes les adresses qu'il a pu collecter sur le pc. Le champ From: contient security@microsoft.com , security@trendmicro.com ou securityresponse@symantec.com. Le sujet sera Warning - you have been infected! ou Your computer may have been infected. Le corps sera une explication en anglais expliquant que votre message n'a pu être envoyé pour différentes raisons. Et le fichier attaché sera message.pif, message.scr, netsky_removal.exe ou removal_tool.exe
• par MSN : envopi d'un texte en anglais avec un lien en .pif ou .scr (naked lesbian twister, paris hilton, rofl, us together, picture, gross, mypic, awesome)

Symptômes : %System% est par exemple C:\Windows\System32

• à l'exécution il affiche un message d'erreur "Run-Time"
• il crée les fichiers suivants %System%\cpu.dll, %System%\<nom aléatoire>\csrss.dat, %System%\<nom aléatoire>\csrss.exe et %System%\<nom aléatoire>\csrss.ini
• afin de se lancer au démarrage de windows, il ajoute le raccourci %Start%\Menu\Programs\Startup\csrss.lnk  
• pour la même raison, il ajoute l'entrée ""Csrss" = "%System%\[nom aléatoire]\csrss.exe" aux clés de registre HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run et HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Run
• il ajoute la valeur "Installed" = "1" aux clés de registre HKEY_CLASSES_ROOT\Chode, HKEY_LOCAL_MACHINE\Software\Classes\Chode et HKEY_CURRENT_USER\Software\Chode pour marquer sa présence
• il ajoute "Load" = "%System%\csrss.exe" et "Run" = "%System%\csrss.exe" au fichier win.ini, encore pour démarrer avec Windows
• toujours pour la même raison, il ajoute les entrées "Run" = "%System%\[nom aléatoire]\csrss.exe" et "Load" = "%System%\[nom aléatoire]\csrss.exe" à la clé de registre HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows

Actions :

• il ajoute les valeurs "DisableRegistryTools" = "1" et "NoAdminPage" = "1" dans la clé

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Policies pour désactiver l'éditeur de la base de registre

• il désactive aussi la restauration en mettant DisableSR= "1" dans HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\SystemRestore
• il modifie les valeurs suivantes "Hidden" = "2", "SuperHidden" = "0" et "ShowSuperHidden" = "0" dans la clé

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced afin de masquer les fichiers qu'il a crées

• il efface les valeurs suivantes (liées à des processus de sécurité) de la clé HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run : "MCAgentExe", "ISSVC", "navapsvc", "Symantec", "Run\LC", "ccEvtMgr", "SNDSrvc", "ccProxy", "ccPwdSvc", "ccSetMgr", "SPBBCSvc", "SAVScan", "SBService", "SmcService", "OutpostFirewal","l","vsmon","CAISafe","net stop", "scconfig", "CleanUp", "MCUpdateExe", "VirusScan", "Online", "VSOCheckTask", "ccApp", "mcvsrte.exe", "Symantec NetDriver Monitor", "Outpost", "Firewall", "gcasServ", "KAVPerson", "al50", "Zone Labs Client", "services", "microsoftantispyware", "hijackthis" pour les empêcher de démarrer avec windows
• il modifie le fichier hosts pour bloquer l'accès à de nombreux sites web concernant la sécurité (antivirus, firewall et HijackThis)
• il termine de nombreux processus liés à la sécurité
• il essaye de désactiver les services suivants gcasServ, hijackthis*, KAVPersonal50, microsoft antispyware*, Outpost Firewall, services, Symantec NetDriver Monitor, Zone Labs Client
• il ouvre une backdoor pour donner l'accès au pc infecté
• il reste à l'écoute de commandes à exécuter sur le pc "éteindre et rebooter le pc", "télécharger et exécuter des fichiers", "faire des attaques Dos par http, ping, TCP ou UDP", "obtenir des infos sur le pc", "se propager par MSN" et "se propager par mail"
• il essaye de voler les mots de passe des applications suivantes : AOL Instant Messenger (vieilles version et Netscape 7), GAIM, ICQ Lite 4.x/2003, Miranda, MSN Messenger, Trillian, Windows Messenger (sous XP) et Yahoo Messenger (Versions 5.x and 6.x) en utilisant un de ces trois outils : Intelligent TCPIP.SYS patcher, MessenPass, Protected Storage PassView

/!\ Virus se propageant par P2P et Archives Zip/Rar /!\ W32.Selotima.A (Symantec) et W32/Esalone-A (Sophos)
Propagation : par réseau P2P en se copiant dans tout un tas de répertoire partagés prédéfinis sous différents noms avec .exe à la fin : Pamela Anderson,Crack Nero Express,Torrent,Crack Norton,Crack Msn,Crackear Msn,Winamp8,Winrar360,Norton 2005,Pamela.jpg,Crack Msn 7.0,IRC,Crack Irc,Pornografia,XXX,Video,Age of Empires,Starcraft,Age Of Empires Crack,Starcraft Crack,Killer Instinct,crack norton 2005,norton 2006,msn8,Kazaa Media Desktop,ICQ Lite,WinZip,iMesh,AOL Instant Messenger (AIM),ICQ pro 2003a beta,Morpheus,Ad aware,Trillian,Download Accelerator plus,ZoneAlarm,Microsoft Office XP,Microsoft Windows 2003,Office 2003,Visual Studio Net,Delphi 6,msn hack,Matrix Movie,Virtual Girl,FireWorks 4,FIreWorks MX,Cracked,crack all versions,KeyGen,Full version,Reproductor de Windows Media,Grokster,WinRAR,DivX Video Bundle,RealOne Free Player,Netumer,JetAudio Basic,Registry Mechanic,Copernic Agent,Winamp,Diet Kazaa,SolSuite 2003: Solitaire Card Games Suite,QuickTime,XoloX Ultra,Microsoft Internet Exlorer,Network Cable e ADSL Speed,Kazaa Download Accelerator,Global DiVX layer,DirectDVD,Lolitas,Pedo,sexo (y en a pour tous les goût )
 
Symptômes : %Windir% peut être C:\Windows

• il crée les fichiers suivants %Windir%\daemon.exe, %Windir%\Infect.drv, %Windir%\Infectate.reg et %Windir%\Muerte.drv
• afin de se lancer au démarrage de windows, il ajoute l'entrée "Daemon" = "%Windir%\daemon.exe c daemon2.exe" à la clé HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• il modifie les valeurs suivantes "Hidden" = "0x00000000" et "HideFileExt" = "0x00000001" dans la clé

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced afin de masquer les fichiers système et "cachés" ainsi que les types d'extensions connues sous l'explorateur Windows
 
Actions :

• il essaye de se copier sous le nom Readme.txt.exe à la racine de tous les disques/disquettes
• il fait de même en s'insérant sous ce nom lors de la création d'archives ZIP et RAR (avec Winzip et Winrar)

/!\ Virus potentiellement très dangereux /!\ W32.Zori.A (Symantec) et PE_ZORI.A (Trend)
Propagation : pas de données pour le moment. faible activité, le risque étant qu'un jour quelqu'un l'utilise sur des virus à fort taux de propagation
 
Symptômes : %System% est par exemple C:\Windows\System32

• il crée les fichiers suivants %System%\SVCHOSTV\svchost.exe, %System%\SVCHOSTV\SVCHOSTV\Vshell[2 nombres hexadécimaux]\[nom original du virus], %System%\SVCHOSTV, %System%\SVCHOSTV\SVCHOSTV, %System%\SVCHOSTV\SVCHOSTV\Vshell1A[i] ainsi que le fichier [i]%System%\NSASABDOx.drv contenant la date du premier lancement du virus sur le pc
• afin de se lancer au démarrage de windows, il ajoute l'entrée "SVHOST" = "C:\WINDOWS\System32\SVCHOSTV\SVCHOST.EXE" à la clé HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• à la 1ère exécution il ouvre une fenêtre Bloc-note affichant un texte en russe contenant en première ligne (en anglais) "Hello, " [...]". This is Death."
• 9 jours après la 1ère exécution il ouvre une fenêtre Bloc-note affichant un autre texte en russe contenant en première ligne (en anglais) "DeathDangerCompany"

Actions :

• cherche les fichiers .exe sur les disques durs afin de les infecter. Leur taille est ainsi augmentée de 438272 octets
• peut créer certains dysfonctionnements dans Windows : le bouton Démarrer, le panneau de configuration ou n'importe quelle fenêtre peuvent être cachés et le lecteur de CD-ROM peut s'ouvrir seul
• crée et lance un fichier de commande diablo.bat avec dedans : shutdown -s -t 30 -c "Hi, I am Death. I Want to send the enormous hello: Oxy, Alke, Punk-y Dashe and others Goblinam. P.S.(  Bye "Hacker", you possible can not restart computer)" -f
• Commence à effacer des fichiers de tous les disques

Juste deux infos (qui ne seront pas reprises en première page normalement)
 
un nouveau bagle/beagle mais faut être c*n pour se le prendre car voila le message

idem pour la nouvelle variante de Kelvir (maintenant que tout le monde le connait ils nous sortent l'astuce du "virus qui vire le virus" )

le fichier Bropia_a_patch.exe est une copie compressée du virus, en RAR auto-extractible
 
ils prennent les utilisateurs pour des truffes là        

On pari qu'ils vont se propager comme le pollen au printemps ?

sûrement, les truffes se développent autant que les oeufs, à Pâques

Vous conseillez quoi comme solution antivirus et firewall gratuit?