Reprise du message précédent :
Ben si... mais après ?

merde j'ai pas cliqué le bon bouton, je repondais sur les mails genre ben laden, viagra etc...

 
on parlait des infos techniques et autres, en clair l'analyse du virus n'est pas complete
 
ca veut pas dire qu'ils n'ont pas sa signature, qui est quasiment la meme pour toute la famille netsky

http://www.01net.com/article/221674.html
 
Claria remplace Gator.

Apres un coups de spybot et de kaspersky j'ai viré une dll
C:\WINNT\Downloaded Program Files\bridge.dll
j''ai un truc qui s'appel brdg Class qui dans les propriétés qui dit que bridge.dll est endommagé
je vois aussi un scanner Class dans ce repertoire avec un "!" et en propriété ? Ben, un code base  
"http://trojanscan.com/trojanscan/TDECntrl" )
Il me semble que Bridge.dll est une saloperie connu...  
 
L'autre truc con, c'est la desinstallation de norton qui deconne malgres le messages "la desinstallation c'est bien passé" (mon cul oui ! ).
quand j'arrive sous w2k hop un message: ccregvfy.exe dll introuvable (cctrust.dll)...
C:\Program Files\Fichiers communs\Symantec Shared;C:\WINNT\system32;C:\WINNT\system;C:\WINNT\;C:\WINNT\system32\wben
 
Comment je vire ces foutus messages ? SVP 3333  

 
http://www.zataz.com en parle:
 
Son nom est personne / ( 280 Hits)
Pays : International
Date de publication : 27 / 4 / 2004
 
Le virus Netsky change l'alpahbet. Sa prochaine version sera baptisée AA. La famille Netsky s'est agrandie, depuis le 16 fevrier 2004, d'une variante tous les cinq jours. Une belle santé pour un microbe qui aujourd'hui continue de faire des ravages. A noter qu'il faudrait peut-être trouvé le générateur qui permet de créer autant de version afin de calmer les pseudos trasher qui se cachent errière un virus somme toute sans intérêt.
 

Tu édites à la mano ta base de registre et tu vires tout ce qui concerne "symantec" "norton"  et "NAV" (mais gaffe à la recherche "nav", y'a pas que du symantec).
 
Pour les clé que tu ne pourrais pas virer => regedt32 (en session admin, bien sûr) et te donner les droits... de suppression.

Puisque j'y suis voilà 2 autres infos de chez eux en esperant que ça ne pose pas de probleme sinon faut le dire je en compte pas non plus copier leur infos tout les jours:
 
Opération à bits ouverts / ( 607 Hits)
Pays : International
Date de publication : 26 / 4 / 2004
 
Les quatre nouvelles variantes de Netsky sont très similaires. Elles sont toutes conçues pour se propager dans des fichiers attachés dans des messages e-mail aux caractéristiques variables. Les actions menées par Netsky.W incluent la suppression dans le registre Windows d'entrées créées par des variantes des vers Mydoom, Mimail et Bagle lorsqu'ils attaquent les ordinateurs. Les variantes X, Y et Z tentent de lancer des attaques par déni de service contre certaines pages Web.  
 
La variante I du ver Mydoom se propage par e-mail dans un message aux caractéristiques variables. Ce ver lance également des attaques par déni de service distribuées contre une page Web. De même qu'il le fait via e-mail, Mydoom.J se propage via le programme de partage de fichiers KaZaA. Une caractéristique de ce ver qui mérite d'être mise en évidence est qu'il utilise une DLL qui était également utilisée par le ver Bugbear.B et qu'il est détecté par Panda Antivirus comme Trj/PSW.Bugbear.B. Il est aisé de savoir si un ordinateur a été infecté par une de ces deux variantes de Mydoom, car lorsqu'elles sont exécutées, elles lancent l'application Bloc-notes de Windows et affiche des données importunes.  
 
Zafi.A est un ver qui se propage par e-mail dans un message écrit en hongrois, qui a systématiquement le sujet 'kepeslap erkezett!'. Ce ver met fin aux processus appartenant à des programmes antivirus et firewall, laissant ainsi l'ordinateur vulnérable face aux attaques d'autres codes malicieux. Zafi.A arrête de se propager le 1er mail 2004 et à partir de cette date, il affiche une fenêtre à l'écran avec un message à caractère politique.  
 
Comme ses prédécesseurs, Blaster.H exploite une vulnérabilité de Windows dénommée 'Buffer Overrun In RPC Interface' découverte en juillet dernier. Ce ver infecte directement via Internet les ordinateurs qui n'ont pas été correctement patchés. Lorsque Blaster.H atteint un ordinateur, il crée une porte dérobée au niveau d'un des ports de communication, qu'il utilise pour mener un nombre significatif d'actions.
 
L'université du virus / ( 229 Hits)
Pays : Allemagne
Date de publication : 27 / 4 / 2004
 
Un centre indépendant de test de logiciels antivirus va ouvrir d'ici quelques mois en Allemagne. L'idée a été lancée par des chercheurs de l'université Otto Von Guericke basée à Magdebourg. Ils se sont donnés pour mission de faire la guerre aux vers et virus informatiques en testant les logiciels antivirus et en faisant remonter faille et problème technique.
 

 
Merci, je ne savais pas comment faire pour les suppressions  

j'ai un utilitaire pour supprimer les clés de norton si tu veux

je veux bien merci
tu le met sur un site ou direct sur mon email ?

 
pour ce qui concerne bridge.dll, c'est un truc qui viens d'arriver chez nous sur la machine d'un de mes users (le user de reve qui ouvre toutes ses PJ et qui chatte toute la journée sur yahoo mesenger, msn, AIM ... le top  ) et j'arrive pas non plus a trouver comment et ou il agit. donc des infos complémentaires me seraient utiles. Je pense "tres" fortement a un petit spyware mais je me mefie d'un ver plus vicieux...
HELP    

Salut
 
je peux m'incruster dans ce topic?
 
Bon pour pas servir à rien, un screenshot d'un effet du netsky.aa, trouvé sur le site de panda:
 

 
http://www.pandasoftware.com/virus [...] 656&sind=0
 
 

peux tu nous lister tes process en cours quand tu as ce probleme
on pourras voir de quoi il s'agit (virus ver spyware adware ou autre problmeme machine)

 
euh tu parles à qui  
 
si c'est pour mon screenshot, c'est sur le site de panda antivirus que je l'ai trouvé, moi j'ai pas de prob

dsl mal lu tom post romf apres 13h sur le serveur de ma boite j'ai les yeux qui buggent un peu

perso ces derniers temps assez souvent panda m'informe de virus netsky.D dans mes mails, les 5 derniers virus que j'ai recu par mail étaient ceux la

une vraie galere en ce moment si en plus tu rajoute les petites merdes qui squattentta CPU et autres spyware et adwares plus des users "facetieux" qui aime bien ouvrir toutes les pieces jointes qu'ils recoivent c assez chiant .pour l'instant netsky me laisse tranquile (je touche du bois car toutes les defs ne sont pas a jour). je cherche entre autre un soft de surveillance des cles de registre ce qui m'aiderait a traquer les nouveaux venus et eventuellemnt les ecarter rapidement ... si qqun a des infos plise ou des softs a proposer missi

 
 
tu peux pas mettre un antivirus qui vire les pièces jointes

le pb est que nous utilisons enormement les fichiers zippes (et autres) dans le cadre du boulot (doc technique) et si je filtre ce genre de fichier y en a qui vont raler. eja essaye ca a tenu 2heures avant un envoi massif de mail (d'insulte ou presque lol) me suppliant de laisser passer leur mails alors j'ai craque  snif

 
y'a pas des antivirus qui peuvent scanner les fichiers zip et leur contenu?

Si y en a, mon hébergeur à mis ça en place mais lui il dès qu'il trouve un zip avec mot de passe il le vire, à cause de l'autre virus qui s'envoyait dans un zip protégé

bon rien de spécial dans la technique utilisée par netsky.aa
 
http://securityresponse.symantec.c [...] aa@mm.html

je sais pas comment vous faites, et je parle pa ds le cadre d une entreprise, mais anti-spam + av sur le server mail et ca roulez

Tu sais très bien que la solution parfaite n'existe pas... y'aura toujours des mailles aux filets et donc toujours des merdes qui passeront au travers.
C'est d'ailleurs pour cela qu'il est indispensable de fournir un minimum de formation (ou d'information) à l'utilisateur.

oue mais penses tu k ils lisent ce topic ?
j ai des doutes

Si tu m'avais lu plus haut dans ce topic tu ne poserais pas la question
Je parlais "du problème" dans sa globalité : les utilisateurs doivent recevoir un minimum d'info (ou de formation) pour ne pas se comporter en bêbête à click!

Netsky.AB is OUT ! ==> chez trendmicro
 
ainsi que bagle.Z qui passe pour un rigolo a coté de la frequence des sorties de la famille netsky

Ils sont bien chez Trend... j'en suis très satisfait, autant pour le serverprotect que pour l'officescan

whaou Norton l'a déja    
 
ils ont fait fort pour une fois  
 
Je dis ça mais j'ai nav2004 mais bientot le corporate v9  

http://www.pandasoftware.com/virus [...] 740&sind=0

lol

euh, je suis à la bourre sur Bagle, en fait la version AA a fait son apparition selon Mc Afee
 
non, en fait c'est trend qui est à la bourre
 
edit : et merde encore à la bourre, version AB pour Bagle...merci Romf
 
Euh, si tu viens sur le forum juste pour me mettre ridicule, c'est pas la peine, hein ?!  

ça compte pas sur Bagle (Beagle) car tous les éditeurs antivirus n'ont pas la même nomenclature pour lui. Exemple :
 
W32.Beagle.W@mm chez Symantec :

 
donc le Z chez Trend doit correspondre au AB je pense

 

 
une question que je me pose quand même: coment les éditeurs d'anti virus connaissent ils les noms des virus? Y'a un petit message avec le virus qui leur est destiné qui dit coucou moi c'est netsky78624.XY?

T'as déjà vu un programmeur qui ne donne pas de nom à ses bébés?
Et à défault, on lui construit un nom en fonction de son classement dans "les familles de virus".

 
oui mais ce nom il est où  
quand tu recois un fichier pif alacon, il a jamais un nom de virus. Donc comment ils trouvent ce nom?

Ben ça c'est codé dans le fichier...

Tiens, grosse attaque chez nous depuis 1/2 heure. La plupart des mails ont un fichier attaché .zip avec un nom variable (counter_strike, document) et un message "here is your new password avec une image représentant des chiffres (on pourrait croire que c'est pour plus de sécurité...) et la suite du message : instructions dans le fichier zip pour "plus de sécurité"

y a une image qui est générée pour le code ????