Aller au contenu

Gare aux virus!


Invité Patrick

Messages recommandés

Invité Patrick
Posté(e)

Oui bon je sais, les virus ne sont pas une nouveauté alors pourquoi poster un message sur un nouveau virus?

 

Eh bien Sobig.F, apparu il y a trois jours, est un cas spécial, il est la cause de la plus grande infection cette année apparemment. Pour vous donner un exemple, même s'il est vrai que je reçois beaucoup de mail, j'en suis a 5 messages infectés toutes les trois minutes... :casstet:

 

Alors qu'il n'est apparu que mardi matin à 06h00, il est déjà plus répandu que Welchian, aperçu pour la première fois le 18 août.

 

Malicieux, Sobig.F change d'expéditeur, de sujet et modifie la forme du corps du courriel infecté lorsqu'il se propage : il est donc difficile de lui faire barrage. Seules certaines caractéristiques permettent de l'identifier. Ainsi le courriel semble provenir d'un serveur qui indique n'avoir pu envoyer un courriel, et comporte le plus souvent l'identifiant d'un site connu (lastminute, ibm, Microsoft). Il a également le plus souvent dans son sujet des expressions comme "Re : Details", "Resume" ou "Thank you".

 

L'apparition de Sobig.F fait donc de ces derniers jours l'une des pires périodes d'infection virale sur les systèmes informatiques et rappelle les pires heures de 2001 : "L'année 2001 reste la pire dans l'histoire de la lutte anti-virale, mais nous en approchons rapidement", estime ainsi Mikko Hypponen, Directeur de laboratoire de F-Secure.

Invité Patrick
Posté(e)

Un document de Microsoft sur comment se protéger des virus sévissant actuellement:

 

==========================

ÉDITION SPÉCIALE BLASTER : LES ACTIONS QUE VOUS DEVEZ MENER

==========================

 

Le 11 août 2003, Microsoft a identifié un nouveau ver, connu sous le nom de

W32.Blaster.worm. Ce ver, connu également sous les noms W32/Lovsan.worm

[McAfee], Win32.Poza [Computer Associates], Lovsan [F-Secure], WORM_MSBLAST.A

[Trend Micro], W32/Blaster-A [sophos], W32/Blaster [Panda], se propage très

rapidement ainsi que des variantes apparues depuis.

 

Ce ver exploite la faille de sécurité mentionnée dans le bulletin de Sécurité

MS03-026, publié en première version le 16 juillet 2003.

 

Bulletin de Sécurité MS03-026 :

http://go.microsoft.com/?linkid=225493

 

 

Sachez que Microsoft met à la disposition des administrateurs réseaux un outil

de diagnostic (US) (http://go.microsoft.com/?linkid=225494) destiné à identifier

les postes ayant le correctif de sécurité et ceux qui ne l'ont pas encore

(réseaux sous Windows 2000 ou Windows XP). Consultez le mode d'emploi (US) de

cet outil.

 

Outil de diagnostic (US) :

http://go.microsoft.com/?linkid=225495

 

Mode d'emploi :

http://go.microsoft.com/?linkid=225496

 

 

ATTENTION !

 

Un canular circule : Un message électronique, actuellement en circulation,

propose un soi-disant correctif contre Blaster. Ceci ne provient en aucun cas de

Microsoft. ATTENTION, Il installe en fait un "cheval de Troie", un virus caché

dans un autre programme.

Microsoft vous rappelle qu'il ne distribue jamais par courrier électronique de

logiciel à télécharger directement à partir d'une pièce jointe.

 

 

==========================

AU SOMMAIRE DE CETTE EDITION SPECIALE

==========================

 

SÉCURITÉ

---------

> Qui est affecté par ce ver ?

> Quelles sont les actions à mener immédiatement pour les administrateurs

systèmes et informaticiens ?

 

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

=================================================

SÉCURITÉ

=================================================

 

> QUI EST AFFECTÉ PAR CE VER ?

 

Les possesseurs des produits suivants sont concernés :

 

Microsoft Windows NT 4.0

Microsoft Windows 2000

Microsoft Windows XP

Microsoft Windows Server 2003

Ne sont pas concernés : les utilisateurs de Windows 95, Windows 98, Windows 98

Seconde Edition et Windows Millenium

 

Le ver a été découvert le 11 août.

 

Tous les clients qui avaient au préalable installé le correctif de sécurité du

bulletin MS03-026 sont protégés.

 

 

--------------------------------------------------

> QUELLES SONT LES ACTIONS À MENER IMMÉDIATEMENT POUR LES ADMINISTRATEURS

SYSTÈMES ET INFORMATICIENS ?

 

 

Suivez les étapes détaillées ci-après

 

Ces étapes sont également publiées sur le site dans l'article "Comment supprimer

le ver Blaster ?" :

http://go.microsoft.com/?linkid=225497

 

- Etape 1 : Rétablissement de l'accès à la machine

Permet de rétablir temporairement un accès machine afin d'exécuter le mode

correction

 

- Etape 2 : Mode correction

Permet d'exécuter toutes les opérations nécessaires visant la protection

définitive.

 

- Etape 3 (optionnelle) : Recherche des autres systèmes infectés sur votre

réseau

 

Et téléchargez l'outil de diagnostic MS03-026 afin d'identifier quels

ordinateurs requièrent le correctif de sécurité mentionné dans le Bulletin de

sécurité MS03-026.

 

 

====================

ETAPE I - RÉTABLISSEMENT DE L'ACCÈS À LA MACHINE (temporaire)

====================

 

AVERTISSEMENT : une utilisation incorrecte de l'éditeur du Registre peut générer

des problèmes graves, pouvant vous obliger à réinstaller votre système

d'exploitation. Microsoft ne peut garantir que les problèmes résultant d'une

utilisation incorrecte de l'éditeur du Registre puissent être résolus. Vous

assumez l'ensemble des risques liés à l'utilisation de cet outil.

 

Pour plus d'informations sur la procédure de modification du Registre, consultez

la rubrique d'aide "Modifier les clés et les valeurs" dans l'éditeur du Registre

(Regedit.exe) ou les rubriques d'aide "Ajouter et supprimer des informations

dans le Registre" et "Modifier les données du Registre" dans Regedt32.exe.

Pensez à sauvegarder le Registre avant de le modifier. Si vous travaillez sous

Windows NT, Windows 2000, Windows XP et Windows 2003, nous vous conseillons de

mettre à jour votre disquette de réparation d'urgence.

 

1. Démarrer en mode sans échec (cela évite de charger le ver)

 

Note : Pour utiliser une option de démarrage sans échec, procédez comme suit

 

Redémarrez votre ordinateur et commencez à appuyer sur la touche F8 de votre

clavier. Sur un ordinateur configuré pour démarrer sous plusieurs systèmes

d'exploitation, vous pouvez appuyer sur la touche F8 lorsque le menu de

démarrage s'affiche.

Lorsque le menu Options avancées de Windows s'affiche, sélectionnez une option,

puis appuyez sur ENTRÉE.

Lorsque le menu de démarrage s'affiche à nouveau, avec les mots "Mode sans

échec" inscrits en bleu en bas de l'écran, sélectionnez l'installation que vous

souhaitez démarrer, puis appuyez sur ENTRÉE.

Plus d'informations sur :

 

Description du mode sans échec dans Windows 2000 :

http://go.microsoft.com/?linkid=225498

 

Description du mode sans échec dans Windows XP :

http://go.microsoft.com/?linkid=225499

 

2. Rechercher et supprimer le fichier msblast.exe sur le disque dur incluant les

fichiers cachés et système. Celui-ci peut se trouver dans les répertoires

\Windows\System32 et \Windows\Prefetch

 

Note : Pour afficher les fichiers cachés

 

lancer la fenêtre Rechercher

aller dans le menu Outils -> Options des dossiers -> onglet Affichage puis,

cliquer sur Afficher les fichiers et dossiers cachés du répertoire Fichiers et

dossiers

 

Pour lancer la recherche :

 

- Sous Windows XP

 

Cliquer sur Démarrer et puis Rechercher.

Sélectionner l'option "Tous les Fichiers et tous les dossiers" et ensuite

cliquer sur "Options Avancées"

Cocher les 3 cases si elles ne sont pas cochés : "Rechercher dans les dossiers

systèmes" "Rechercher dans les fichiers et les dossiers cachés" et "Rechercher

dans les sous-dossiers"

Taper "msblast.exe" comme nom de fichier.

Appuyer sur le bouton Rechercher

 

- Sous Windows 2000

 

Cliquer sur Démarrer et puis Rechercher.

Sélectionner l'option "Des fichiers ou des dossiers"

Taper "msblast.exe" comme nom de fichier.

Appuyer sur le bouton Rechercher

 

3. Démarrer l'éditeur du registre (Démarrer -> Exécuter -> Taper Regedt32.exe)

 

4. Suivre l'arborescence :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

 

5. Supprimer la valeur "windows auto update"="msblast.exe"'

 

6. Arrêter le poste

 

**********************************

* REMARQUE :

*

* - Le 14 août 2003, plusieurs variantes du ver initial ont été identifiées.

Chacune de ces variantes utilise des noms de fichiers différents.

*

* Suivez les étapes ci-dessus pour chercher aussi les fichiers appelés

Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll, et

Yuetyutr.dll. Si l'un de ces fichiers est trouvé, prenez contact avec votre

éditeur d'antivirus afin de procéder au nettoyage.

*

* Vous trouverez plus d'informations sur ces variantes, sur le site Web de

Symantec Corporation:

*

* W32.Blaster.C.Worm : Teekids.exe

* W32.Blaster.B.Worm : Penis32.exe

* W32.Randex.E : Nstask32.exe, Winlogin.exe, Win32sockdrv.dll, or Yyuetyutr.dll

*

* - Le 19 août, apparition de la variante Nachi, Blaster-D, Welchia :

* Pour plus d'informations sur cette variante et pour savoir comment la

supprimer :

* http://go.microsoft.com/?linkid=225500

*

* - Le 20 août : nouveau ver W32.Sobig.A et ses variantes :

* Consultez le bulletin d'alerte (US) :

* http://go.microsoft.com/?linkid=225501

*

************************************

 

=====================

ETAPE II - CORRECTION

=====================

Cette étape comprend trois actions :

 

- Protection de votre système

- Installation du correctif MS03-026

- Elimination du ver.

 

-------------------

PROTECTION DE VOTRE SYSTÈME

 

- Windows XP ou Windows 2003 - Activation du pare-feu

 

1. Débrancher le modem ou le câble réseau

 

2. Démarrer en mode normal

 

3. Démarrer le Pare-feu sur la connexion Internet (Important : si on ne le fait

pas, le poste peut être contaminé à nouveau dans la minute)

 

Pour configurer le Pare-feu de connexion Internet manuellement pour une

connexion :

 

Dans le Panneau de configuration, double-cliquer sur Connexions réseau et

Internet, puis cliquer sur Connexions réseau.

Cliquer avec le bouton droit sur la connexion sur laquelle vous voulez activer

le Pare-feu de connexion Internet, puis cliquer sur Propriétés.

Sous l'onglet Paramètres Avancés, cocher la case pour sélectionner l'option

Protéger mon ordinateur ou mon réseau.

Note : Si vous utilisez un kit de connexion Wanadoo et que l'onglet Paramètres

Avancés n'est pas disponible, veuillez suivre la procédure de Wanadoo pour

activer votre pare-feu disponible sur le lien suivant :

http://go.microsoft.com/?linkid=225502

 

Si vous voulez activer l'utilisation de certaines applications et de certains

services via le Pare-feu, vous devez les activer en cliquant sur le bouton

Paramètres, puis en sélectionnant les programmes, protocoles et services à

activer pour la configuration du Pare-feu de connexion Internet.

 

4. Rebrancher le modem ou le câble réseau et redémarrer le poste

 

- Windows NT 4 ou Windows 2000 - Désactivation de DCOM

 

Démarrer l'éditeur du registre (Démarrer -> Exécuter -> Taper Regedt32.exe)

Dans l'arborescence : HKEY_LOCAL_MACHIINE\SOFTWARE\Microsoft\Ole modifier la

valeur de la clé EnableDCOM à "N"

Note : La valeur devra être mise à « Y » une fois que la machine sera libre du

ver.

Rebrancher le modem ou le câble réseau et redémarrer le poste

 

-----------------

INSTALLATION DU CORRECTIF MS03-26

 

1. Appliquer le correctif de sécurité MS03-026 (Patch en version française)

disponible à l'adresse :

 

Téléchargez le correctif pour Windows XP Edition Professionnelle et Windows XP

Edition Familiale en français :

http://go.microsoft.com/?linkid=225503 | 1263 Ko

 

Téléchargez le correctif pour Windows 2000 Professional, Windows 2000 Server,

Windows 2000 Advanced Server, en français :

http://go.microsoft.com/?linkid=225504 | 901 Ko

 

Téléchargez le correctif pour Windows NT 4.0 Server, Windows NT4.0 Server,

Enterprise Edition, et Windows NT 4 Workstation SP6a en français :

http://go.microsoft.com/?linkid=225505 | 1294 Ko

 

Téléchargez le correctif pour Windows NT 4.0 Server, Edition terminal Server, en

français :

http://go.microsoft.com/?linkid=225506 | 719 Ko

 

Téléchargez le correctif pour Windows Server 2003, en français :

http://go.microsoft.com/?linkid=225507 | 1454 Ko

 

------------------

ELIMINATION DU VER

 

1. Pour éliminer le ver, passer l'outil de suppression de Symantec disponible

sur http://go.microsoft.com/?linkid=225508

 

2. Mettre à jour son antivirus avec la dernière signature et scanner son poste

 

 

Outils tiers :

Des outils d'élimination du ver sont disponibles auprès des éditeurs

d'antivirus. Vous en trouverez ci-dessous une liste non exhaustive :

 

Symantec :

http://go.microsoft.com/?linkid=225509

 

Computer Associate :

http://go.microsoft.com/?linkid=225510 et

http://go.microsoft.com/?linkid=225511

 

McAfee :

http://go.microsoft.com/?linkid=225512

 

Trend Micro :

http://go.microsoft.com/?linkid=225513

 

F-Secure :

http://go.microsoft.com/?linkid=225514

 

Les coordonnées des Outils tiers mentionnés dans ce document vous aideront à

obtenir le support technique dont vous avez besoin. Ces informations peuvent

faire l'objet de modifications sans préavis. Microsoft ne garantit en aucun cas

l'exactitude des informations concernant les sociétés tierces.

 

Les produits tiers mentionnés dans cet article proviennent de fournisseurs

indépendants de Microsoft ; nous n'accordons aucune garantie, implicite ou

autre, en ce qui concerne le fonctionnement ou la fiabilité de ces produits.

 

Informations complémentaires :

Si au cours de vos manipulations, une fenêtre indiquant la fermeture de Windows

dans quelques secondes apparaît, il est possible d'annuler cette opération de la

manière suivante : sélectionnez Démarrer / Exécuter puis tapez " shutdown -a ".

Cette opération n'est valable que sur un système Windows XP.

 

=============================

ETAPE III (optionnelle) - Recherche des autres systèmes infectés sur votre

réseau

=============================

Si vous avez plusieurs systèmes connectés au réseau, un nouvel outil est

disponible : Microsoft met à la disposition des administrateurs réseaux un outil

de diagnostic destiné à identifier les postes ayant le correctif de sécurité et

ceux qui ne l'ont pas encore (réseaux sous Windows 2000 ou Windows XP).

Consultez le mode d'emploi de cet outil.

 

Outil de diagnostic (US) :

http://go.microsoft.com/?linkid=225515

 

Mode d'emploi:

http://go.microsoft.com/?linkid=225516

 

 

Si vous constatez qu'une (ou plusieurs machines) de votre réseau local est

(sont) infectée(s), appliquez à nouveau les étapes I et II pour toutes les

machines concernées.

 

 

 

 

 

---------------------------------------------------------------

Microsoft France

http://go.microsoft.com/?linkid=225517

---------------------------------------------------------------

 

~~~~~~~ Utilisation de cette liste de diffusion~~~~~~~~~~~~~~~~~~~~~~~~

 

Si vous souhaitez vous désabonner à ce bulletin d'information, cliquez ici

mailto:1_51425_BBDDB2C8-7F80-974E-B499-17604BC53F66_FR@Newsletters.Microsoft.com?subject=UNSUBSCRIBE

pour envoyer un message de désabonnement ou répondez à ce message en tapant «

UNSUBSCRIBE » dans le sujet du message. Si vous souhaitez ne plus jamais

recevoir de bulletins d'information de microsoft.com, cliquez ici

mailto:2_51425_BBDDB2C8-7F80-974E-B499-17604BC53F66_FR@Newsletters.Microsoft.com?subject=STOPMAIL

pour envoyer votre demande ou répondez à ce message en tapant « STOPMAIL » dans

le sujet du message. Vous pouvez également vous désabonner ou gérer vos

coordonnées et préférences en matière de communication avec microsoft.com, en

vous connectant sur http://go.microsoft.com/?linkid=225490.

 

 

Invité Patrick
Posté(e)

Le service Halte au Spam permet de bloquer la plus grande partie des spams. Je ne peux que vous le conseiller, je l'utilise depuis plusieurs mois. Il détecte les virus, pour Sobig, vous avertit que c'est un spam en plus et ne déclenche pas l'avertissement Norton à chaque fois...

Posté(e)

Salut,

 

Merci pour l'info j'avais ce VIRUS DE MER.. et j'ai été obligé de tous reformater puisque qu'avec Win98SE il fait tous buger plus possible de faire internet et Word.

 

j'ai une petite question après mon installe je n'ai plus les nouveaux message des News group sous outlook Express, j'ai bien copier les fichiers *.dbx et en les remettants dans le répertoire il ne veux plus me télécharger les nouveaux messages :mad: j'ai tous les message du début 2001-jusqu'au 20/08/2003 et les nouveaux message il ne veux pas les télécharger il me dit : pas de nouveaux message.

Est ce que quelqu'un as une solution.

 

Merci d'avance

@+

JBB

Jean-Baptiste Boury

http://www.assogci.orgLes IUPiades, le forum du btp de l'ouest (http://www.iupiades.fr.st)

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !

Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.

Connectez-vous maintenant
×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer. Politique de confidentialité