virus via msn ??

Recherche :

Mot : Pseudo : Filtrer
Bas de page
Auteur	Sujet : virus via msn ??

feedesetoiles

Je pense avoir été infecté par un virus via msn (j'ai cliqué sur un lien envoyé apparemment par le contact avec qui je discutais, grossière erreur !!) : mon anti-virus (avast) se déclenche à chaque tentative de connexion à internet, une fenêtre internet s'ouvre toute seule, ce qui déclenche encore une fois l'antivirus (fenêtre récalcitrante qui revient seulement à la première connexion mais très dure à bloquer), et hier, je me suis aperçue que des mails étaient envoyés par mon ordi vers des boîtes mail inconnues par des boîtes inconnues, processus impossible à arrêter sauf à déconnecter. Apparemment, ce n'est plus le cas aujourd'hui (enfin....pour l'instant) ! J'ai scanné mon pc avec avast, spybot et l'antivirus en ligne de secuser mais aucun d'eux ne trouve quoique ce soit d'anormal, pourtant il y a bien quelque chose qui ne va pas.

Bref, je peux faire quoi ?

Merci de votre aide.

Message édité par feedesetoiles le 23-03-2005 à 17:21:33

Publicité

com21

Modérateur
real men don't click

/!\ Virus Serflog/Fatso/Crog/Sumom sous MSN /!\ W32.Serflog.A et W32.Serflog.B(Symantec), W32/Crog.worm (Mac Afee), W32/Sumom-A et W32/Sumom-B (Sophos) et WORM_FATSO.A et WORM_FATSO.B (Trend)
Propagation :

* s'auto-envoie sous MSN en incluant un lien vers une des copies qu'il a créées sur le pc
* par P2P sous différents noms
* par copie sous toute gravure effectuée par le système. Il se met sous le nom AUTORUN.EXE dans le répertoire suivant %USERFOLDER%\Local Settings\Application Data\Microsoft\CD Burning\autorun.exe et crée ou met à jour un AUTORUN.INF au même endroit et contenant OPEN=AUTORUN.EXE

Symptômes : %System% est par exemple C:\Windows\System32, %Windir% peut être C:\Windows, %SystemDrive% sera le disque où Windows est installé ("C:" par défaut) et %UserProfile% est une variable qui se réfère au profil utilisateur donc par défaut C:\Documents and Settings\<Utilisateur>

* il se copie en fichier caché sous les noms %System%\formatsys.exe, %System%\serbw.exe, ]%Windir%\msmbw.exe, %SystemDrive%\Crazy frog gets killed by train!.pif, %SystemDrive%\Annoying crazy frog getting killed.pif, %SystemDrive%\See my lesbian friends.pif, %SystemDrive%\LOL that ur pic!.pif, %SystemDrive%\My new photo!.pif, %SystemDrive%\Me on holiday!.pif, %SystemDrive%\The Cat And The Fan piccy.pif, %SystemDrive%\How a Blonde Eats a Banana...pif, %SystemDrive%\Mona Lisa Wants Her Smile Back.pif, %SystemDrive%\Topless in Mini Skirt! lol.pif, %SystemDrive%\Fat Elvis! lol.pif, %SystemDrive%\Jennifer Lopez.scr, %SystemDrive%\lspt.exe
* afin de se lancer au démarrage de windows, il ajoute les entrées "[Valeur]" = "[nom de fichier]" aux clés de registre HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run, HKEY_CURRENT_USER\Microsoft\Windows\CurrentVersion\Run et HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run avec valeur pouvant être serpe, ltwob ou avnort et [nom de fichier] choisi parmi %System%\formatsys.exe, %System%\serbw.exe ou %Windir%\msmbw.exe
* pour se propager en P2P il se copie dans les répertoires %SystemDrive%\My Shared Folder, %UserProfile%\Shared et %ProgramFiles%\Program Files\eMule\Incoming sous les noms Messenger Plus! 3.50.exe, MSN all version polygamy.exe et MSN nudge bomb.exe

Actions :

* efface le fichier %SystemDrive%\MESSAGE_TO_BROPIA.txt si il existe
* arrête de très nombreux processus liés à la sécurité
* ajoute pas mal de lignes au fichier hosts afin de bloquer l'accès aux sites web réputés pour la protection
* diminue le niveau de sécurité du pc en mettant à "0" les clés suivantes HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore "DisableConfig" et HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore "DisableSR"

/!\ Virus Kelvir sous MSN /!\ W32.Kelvir.A et W32.Kelvir.B (Symantec), W32/Kelvir.worm.b et W32/Kelvir.worm.c (Mac Afee), W32/Kelvir-B et W32/Kelvir-C (Sophos), WORM_KELVIR.A et WORM_KELVIR.B (Trend) et Win32.Bropia.T (Computer Associates)
Propagation : s'auto-envoie à tous les contacts sous MSN avec les textes suivants :

* omg this is funny! [Lien vers le domaine jose.rivera4.home.att.net et le fichier cute.pif]
* [Lien vers le domaine home.earthlink.net et le fichier omg.pif] lol! seeit! u'll like it
* de nouvelles versions peuvent se propager aussi par les failles (patchées depuis longtemps) de Windows MS03-026 et MS04-011

Action : si les fichiers .pif sont exécutés ils téléchargent les fichiers

* patch.exe à partir d'une adresse du domaine home.comcast.net et un fichier file.exe du domaine www.yoursite.com qui sont des variantes des virus de la famille des Rbot/Sdbot/Spybot (selon les éditeurs antivirus)
* me.jpg à partir d'une adresse du domaine home.earthlink.net et un fichier file.exe du domaine www.yoursite.com qui sont des variantes des virus de la famille des Rbot/Sdbot/Spybot (selon les éditeurs antivirus)
* beaucoup d'autres versions suivent déja et elles peuvent se connecter sur des canaux irc et attendre les commandes de leur auteur et au lieu de juste s'installer dans la BDR pour se lancer au démarrage de Windows elles s'enregistrent en tant que service Windows

cf http://forum.hardware.fr/hardwaref [...] 7976-1.htm

---------------
Cherche geekette | Traquez vos billets d'€ | Don du sang | Don de moelle osseuse

FORUM HardWare.fr

Windows & Software

Sécurité

virus via msn ??

Sujets relatifs
Symptome d'un virus inconnu	virus qui reprend mes fichiers
Virus msn Parishilton.scr (non résolu)	virus html coolweb, javabytever, java openstra
Que pensez vous de norman virus control	norton anti virus ou kapersky ou un anti virus gratuit
arggggg!! virus tu veux pas me lacher un peu?	norton anti virus et service pack 1
parishiltonNUDE.pif virus msn ?	Virus HTML/Exploit.ObjID
Plus de sujets relatifs à : virus via msn ??

Page générée en 0.026 secondes