Invité Patrick Posté(e) le 20 août 2003 Posté(e) le 20 août 2003 Oui bon je sais, les virus ne sont pas une nouveauté alors pourquoi poster un message sur un nouveau virus? Eh bien Sobig.F, apparu il y a trois jours, est un cas spécial, il est la cause de la plus grande infection cette année apparemment. Pour vous donner un exemple, même s'il est vrai que je reçois beaucoup de mail, j'en suis a 5 messages infectés toutes les trois minutes... :casstet: Alors qu'il n'est apparu que mardi matin à 06h00, il est déjà plus répandu que Welchian, aperçu pour la première fois le 18 août. Malicieux, Sobig.F change d'expéditeur, de sujet et modifie la forme du corps du courriel infecté lorsqu'il se propage : il est donc difficile de lui faire barrage. Seules certaines caractéristiques permettent de l'identifier. Ainsi le courriel semble provenir d'un serveur qui indique n'avoir pu envoyer un courriel, et comporte le plus souvent l'identifiant d'un site connu (lastminute, ibm, Microsoft). Il a également le plus souvent dans son sujet des expressions comme "Re : Details", "Resume" ou "Thank you". L'apparition de Sobig.F fait donc de ces derniers jours l'une des pires périodes d'infection virale sur les systèmes informatiques et rappelle les pires heures de 2001 : "L'année 2001 reste la pire dans l'histoire de la lutte anti-virale, mais nous en approchons rapidement", estime ainsi Mikko Hypponen, Directeur de laboratoire de F-Secure.
Invité Patrick Posté(e) le 20 août 2003 Posté(e) le 20 août 2003 Et à quoi ça ressemble un virus? Voilà une galerie de photos qui vous donne froid dans le dos!
Invité Patrick Posté(e) le 21 août 2003 Posté(e) le 21 août 2003 Un document de Microsoft sur comment se protéger des virus sévissant actuellement: ==========================ÉDITION SPÉCIALE BLASTER : LES ACTIONS QUE VOUS DEVEZ MENER========================== Le 11 août 2003, Microsoft a identifié un nouveau ver, connu sous le nom deW32.Blaster.worm. Ce ver, connu également sous les noms W32/Lovsan.worm[McAfee], Win32.Poza [Computer Associates], Lovsan [F-Secure], WORM_MSBLAST.A[Trend Micro], W32/Blaster-A [sophos], W32/Blaster [Panda], se propage trèsrapidement ainsi que des variantes apparues depuis. Ce ver exploite la faille de sécurité mentionnée dans le bulletin de SécuritéMS03-026, publié en première version le 16 juillet 2003. Bulletin de Sécurité MS03-026 :http://go.microsoft.com/?linkid=225493 Sachez que Microsoft met à la disposition des administrateurs réseaux un outilde diagnostic (US) (http://go.microsoft.com/?linkid=225494) destiné à identifierles postes ayant le correctif de sécurité et ceux qui ne l'ont pas encore(réseaux sous Windows 2000 ou Windows XP). Consultez le mode d'emploi (US) decet outil. Outil de diagnostic (US) : http://go.microsoft.com/?linkid=225495 Mode d'emploi :http://go.microsoft.com/?linkid=225496 ATTENTION ! Un canular circule : Un message électronique, actuellement en circulation,propose un soi-disant correctif contre Blaster. Ceci ne provient en aucun cas deMicrosoft. ATTENTION, Il installe en fait un "cheval de Troie", un virus cachédans un autre programme.Microsoft vous rappelle qu'il ne distribue jamais par courrier électronique delogiciel à télécharger directement à partir d'une pièce jointe. ==========================AU SOMMAIRE DE CETTE EDITION SPECIALE========================== SÉCURITÉ---------> Qui est affecté par ce ver ? > Quelles sont les actions à mener immédiatement pour les administrateurssystèmes et informaticiens ? ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ =================================================SÉCURITÉ================================================= > QUI EST AFFECTÉ PAR CE VER ? Les possesseurs des produits suivants sont concernés : Microsoft Windows NT 4.0 Microsoft Windows 2000 Microsoft Windows XP Microsoft Windows Server 2003 Ne sont pas concernés : les utilisateurs de Windows 95, Windows 98, Windows 98Seconde Edition et Windows Millenium Le ver a été découvert le 11 août. Tous les clients qui avaient au préalable installé le correctif de sécurité dubulletin MS03-026 sont protégés. --------------------------------------------------> QUELLES SONT LES ACTIONS À MENER IMMÉDIATEMENT POUR LES ADMINISTRATEURSSYSTÈMES ET INFORMATICIENS ? Suivez les étapes détaillées ci-après Ces étapes sont également publiées sur le site dans l'article "Comment supprimerle ver Blaster ?" :http://go.microsoft.com/?linkid=225497 - Etape 1 : Rétablissement de l'accès à la machine Permet de rétablir temporairement un accès machine afin d'exécuter le modecorrection - Etape 2 : Mode correction Permet d'exécuter toutes les opérations nécessaires visant la protectiondéfinitive. - Etape 3 (optionnelle) : Recherche des autres systèmes infectés sur votreréseau Et téléchargez l'outil de diagnostic MS03-026 afin d'identifier quelsordinateurs requièrent le correctif de sécurité mentionné dans le Bulletin desécurité MS03-026. ====================ETAPE I - RÉTABLISSEMENT DE L'ACCÈS À LA MACHINE (temporaire) ==================== AVERTISSEMENT : une utilisation incorrecte de l'éditeur du Registre peut générerdes problèmes graves, pouvant vous obliger à réinstaller votre systèmed'exploitation. Microsoft ne peut garantir que les problèmes résultant d'uneutilisation incorrecte de l'éditeur du Registre puissent être résolus. Vousassumez l'ensemble des risques liés à l'utilisation de cet outil. Pour plus d'informations sur la procédure de modification du Registre, consultezla rubrique d'aide "Modifier les clés et les valeurs" dans l'éditeur du Registre(Regedit.exe) ou les rubriques d'aide "Ajouter et supprimer des informationsdans le Registre" et "Modifier les données du Registre" dans Regedt32.exe.Pensez à sauvegarder le Registre avant de le modifier. Si vous travaillez sousWindows NT, Windows 2000, Windows XP et Windows 2003, nous vous conseillons demettre à jour votre disquette de réparation d'urgence. 1. Démarrer en mode sans échec (cela évite de charger le ver) Note : Pour utiliser une option de démarrage sans échec, procédez comme suit Redémarrez votre ordinateur et commencez à appuyer sur la touche F8 de votreclavier. Sur un ordinateur configuré pour démarrer sous plusieurs systèmesd'exploitation, vous pouvez appuyer sur la touche F8 lorsque le menu dedémarrage s'affiche. Lorsque le menu Options avancées de Windows s'affiche, sélectionnez une option,puis appuyez sur ENTRÉE. Lorsque le menu de démarrage s'affiche à nouveau, avec les mots "Mode sanséchec" inscrits en bleu en bas de l'écran, sélectionnez l'installation que voussouhaitez démarrer, puis appuyez sur ENTRÉE. Plus d'informations sur : Description du mode sans échec dans Windows 2000 :http://go.microsoft.com/?linkid=225498 Description du mode sans échec dans Windows XP :http://go.microsoft.com/?linkid=225499 2. Rechercher et supprimer le fichier msblast.exe sur le disque dur incluant lesfichiers cachés et système. Celui-ci peut se trouver dans les répertoires\Windows\System32 et \Windows\Prefetch Note : Pour afficher les fichiers cachés lancer la fenêtre Rechercher aller dans le menu Outils -> Options des dossiers -> onglet Affichage puis, cliquer sur Afficher les fichiers et dossiers cachés du répertoire Fichiers etdossiers Pour lancer la recherche : - Sous Windows XP Cliquer sur Démarrer et puis Rechercher. Sélectionner l'option "Tous les Fichiers et tous les dossiers" et ensuitecliquer sur "Options Avancées" Cocher les 3 cases si elles ne sont pas cochés : "Rechercher dans les dossierssystèmes" "Rechercher dans les fichiers et les dossiers cachés" et "Rechercherdans les sous-dossiers" Taper "msblast.exe" comme nom de fichier. Appuyer sur le bouton Rechercher - Sous Windows 2000 Cliquer sur Démarrer et puis Rechercher. Sélectionner l'option "Des fichiers ou des dossiers" Taper "msblast.exe" comme nom de fichier. Appuyer sur le bouton Rechercher 3. Démarrer l'éditeur du registre (Démarrer -> Exécuter -> Taper Regedt32.exe) 4. Suivre l'arborescence :HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ 5. Supprimer la valeur "windows auto update"="msblast.exe"' 6. Arrêter le poste *********************************** REMARQUE : * * - Le 14 août 2003, plusieurs variantes du ver initial ont été identifiées.Chacune de ces variantes utilise des noms de fichiers différents. * * Suivez les étapes ci-dessus pour chercher aussi les fichiers appelésNstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll, etYuetyutr.dll. Si l'un de ces fichiers est trouvé, prenez contact avec votreéditeur d'antivirus afin de procéder au nettoyage. * * Vous trouverez plus d'informations sur ces variantes, sur le site Web deSymantec Corporation: * * W32.Blaster.C.Worm : Teekids.exe * W32.Blaster.B.Worm : Penis32.exe * W32.Randex.E : Nstask32.exe, Winlogin.exe, Win32sockdrv.dll, or Yyuetyutr.dll * * - Le 19 août, apparition de la variante Nachi, Blaster-D, Welchia : * Pour plus d'informations sur cette variante et pour savoir comment lasupprimer :* http://go.microsoft.com/?linkid=225500* * - Le 20 août : nouveau ver W32.Sobig.A et ses variantes :* Consultez le bulletin d'alerte (US) : * http://go.microsoft.com/?linkid=225501************************************* =====================ETAPE II - CORRECTION===================== Cette étape comprend trois actions : - Protection de votre système - Installation du correctif MS03-026 - Elimination du ver. -------------------PROTECTION DE VOTRE SYSTÈME - Windows XP ou Windows 2003 - Activation du pare-feu 1. Débrancher le modem ou le câble réseau 2. Démarrer en mode normal 3. Démarrer le Pare-feu sur la connexion Internet (Important : si on ne le faitpas, le poste peut être contaminé à nouveau dans la minute) Pour configurer le Pare-feu de connexion Internet manuellement pour uneconnexion : Dans le Panneau de configuration, double-cliquer sur Connexions réseau etInternet, puis cliquer sur Connexions réseau. Cliquer avec le bouton droit sur la connexion sur laquelle vous voulez activerle Pare-feu de connexion Internet, puis cliquer sur Propriétés. Sous l'onglet Paramètres Avancés, cocher la case pour sélectionner l'optionProtéger mon ordinateur ou mon réseau. Note : Si vous utilisez un kit de connexion Wanadoo et que l'onglet ParamètresAvancés n'est pas disponible, veuillez suivre la procédure de Wanadoo pouractiver votre pare-feu disponible sur le lien suivant : http://go.microsoft.com/?linkid=225502 Si vous voulez activer l'utilisation de certaines applications et de certainsservices via le Pare-feu, vous devez les activer en cliquant sur le boutonParamètres, puis en sélectionnant les programmes, protocoles et services àactiver pour la configuration du Pare-feu de connexion Internet. 4. Rebrancher le modem ou le câble réseau et redémarrer le poste - Windows NT 4 ou Windows 2000 - Désactivation de DCOM Démarrer l'éditeur du registre (Démarrer -> Exécuter -> Taper Regedt32.exe) Dans l'arborescence : HKEY_LOCAL_MACHIINE\SOFTWARE\Microsoft\Ole modifier lavaleur de la clé EnableDCOM à "N"Note : La valeur devra être mise à « Y » une fois que la machine sera libre duver. Rebrancher le modem ou le câble réseau et redémarrer le poste -----------------INSTALLATION DU CORRECTIF MS03-26 1. Appliquer le correctif de sécurité MS03-026 (Patch en version française)disponible à l'adresse : Téléchargez le correctif pour Windows XP Edition Professionnelle et Windows XPEdition Familiale en français :http://go.microsoft.com/?linkid=225503 | 1263 Ko Téléchargez le correctif pour Windows 2000 Professional, Windows 2000 Server,Windows 2000 Advanced Server, en français :http://go.microsoft.com/?linkid=225504 | 901 Ko Téléchargez le correctif pour Windows NT 4.0 Server, Windows NT4.0 Server,Enterprise Edition, et Windows NT 4 Workstation SP6a en français :http://go.microsoft.com/?linkid=225505 | 1294 Ko Téléchargez le correctif pour Windows NT 4.0 Server, Edition terminal Server, enfrançais :http://go.microsoft.com/?linkid=225506 | 719 Ko Téléchargez le correctif pour Windows Server 2003, en français :http://go.microsoft.com/?linkid=225507 | 1454 Ko ------------------ELIMINATION DU VER 1. Pour éliminer le ver, passer l'outil de suppression de Symantec disponiblesur http://go.microsoft.com/?linkid=225508 2. Mettre à jour son antivirus avec la dernière signature et scanner son poste Outils tiers :Des outils d'élimination du ver sont disponibles auprès des éditeursd'antivirus. Vous en trouverez ci-dessous une liste non exhaustive : Symantec :http://go.microsoft.com/?linkid=225509 Computer Associate :http://go.microsoft.com/?linkid=225510 et http://go.microsoft.com/?linkid=225511 McAfee :http://go.microsoft.com/?linkid=225512 Trend Micro :http://go.microsoft.com/?linkid=225513 F-Secure : http://go.microsoft.com/?linkid=225514 Les coordonnées des Outils tiers mentionnés dans ce document vous aideront àobtenir le support technique dont vous avez besoin. Ces informations peuventfaire l'objet de modifications sans préavis. Microsoft ne garantit en aucun casl'exactitude des informations concernant les sociétés tierces. Les produits tiers mentionnés dans cet article proviennent de fournisseursindépendants de Microsoft ; nous n'accordons aucune garantie, implicite ouautre, en ce qui concerne le fonctionnement ou la fiabilité de ces produits. Informations complémentaires :Si au cours de vos manipulations, une fenêtre indiquant la fermeture de Windowsdans quelques secondes apparaît, il est possible d'annuler cette opération de lamanière suivante : sélectionnez Démarrer / Exécuter puis tapez " shutdown -a ".Cette opération n'est valable que sur un système Windows XP. =============================ETAPE III (optionnelle) - Recherche des autres systèmes infectés sur votreréseau=============================Si vous avez plusieurs systèmes connectés au réseau, un nouvel outil estdisponible : Microsoft met à la disposition des administrateurs réseaux un outilde diagnostic destiné à identifier les postes ayant le correctif de sécurité etceux qui ne l'ont pas encore (réseaux sous Windows 2000 ou Windows XP).Consultez le mode d'emploi de cet outil. Outil de diagnostic (US) : http://go.microsoft.com/?linkid=225515 Mode d'emploi:http://go.microsoft.com/?linkid=225516 Si vous constatez qu'une (ou plusieurs machines) de votre réseau local est(sont) infectée(s), appliquez à nouveau les étapes I et II pour toutes lesmachines concernées. ---------------------------------------------------------------Microsoft France http://go.microsoft.com/?linkid=225517--------------------------------------------------------------- ~~~~~~~ Utilisation de cette liste de diffusion~~~~~~~~~~~~~~~~~~~~~~~~ Si vous souhaitez vous désabonner à ce bulletin d'information, cliquez icimailto:1_51425_BBDDB2C8-7F80-974E-B499-17604BC53F66_FR@Newsletters.Microsoft.com?subject=UNSUBSCRIBEpour envoyer un message de désabonnement ou répondez à ce message en tapant «UNSUBSCRIBE » dans le sujet du message. Si vous souhaitez ne plus jamaisrecevoir de bulletins d'information de microsoft.com, cliquez icimailto:2_51425_BBDDB2C8-7F80-974E-B499-17604BC53F66_FR@Newsletters.Microsoft.com?subject=STOPMAILpour envoyer votre demande ou répondez à ce message en tapant « STOPMAIL » dansle sujet du message. Vous pouvez également vous désabonner ou gérer voscoordonnées et préférences en matière de communication avec microsoft.com, envous connectant sur http://go.microsoft.com/?linkid=225490.
Invité Patrick Posté(e) le 21 août 2003 Posté(e) le 21 août 2003 Le service Halte au Spam permet de bloquer la plus grande partie des spams. Je ne peux que vous le conseiller, je l'utilise depuis plusieurs mois. Il détecte les virus, pour Sobig, vous avertit que c'est un spam en plus et ne déclenche pas l'avertissement Norton à chaque fois...
jbb Posté(e) le 22 août 2003 Posté(e) le 22 août 2003 Salut, Merci pour l'info j'avais ce VIRUS DE MER.. et j'ai été obligé de tous reformater puisque qu'avec Win98SE il fait tous buger plus possible de faire internet et Word. j'ai une petite question après mon installe je n'ai plus les nouveaux message des News group sous outlook Express, j'ai bien copier les fichiers *.dbx et en les remettants dans le répertoire il ne veux plus me télécharger les nouveaux messages :mad: j'ai tous les message du début 2001-jusqu'au 20/08/2003 et les nouveaux message il ne veux pas les télécharger il me dit : pas de nouveaux message.Est ce que quelqu'un as une solution. Merci d'avance@+JBB Jean-Baptiste Bouryhttp://www.assogci.orgLes IUPiades, le forum du btp de l'ouest (http://www.iupiades.fr.st)
Messages recommandés
Créer un compte ou se connecter pour commenter
Vous devez être membre afin de pouvoir déposer un commentaire
Créer un compte
Créez un compte sur notre communauté. C’est facile !
Créer un nouveau compteSe connecter
Vous avez déjà un compte ? Connectez-vous ici.
Connectez-vous maintenant