Virus NOVARG
(mise à jour 28-01-2004)

 
Web www.valordi.com

Novarg est un virus qui se propage par email et KaZaA. Il se présente sous la forme d'un message dont le titre est aléatoire, accompagné d'un fichier joint dont l'extension est .BAT, .CMD,.EXE, .PIF, .SCR ou .ZIP et dont l'icône est faussement souvent celle d'un simple fichier texte. Si ce fichier est exécuté, le virus s'envoie aux contacts dont les adresses figurent dans le carnet d'adresses Windows et divers autres fichiers, installe une backdoor et se copie sous divers noms aguicheurs dans le répertoire partagé via KaZaA.

Novarg se présente sous la forme d'un message dont le titre, le corps et le nom du fichier joint sont aléatoires Quelques titres de messages :

test , hi , hello , Mail Delivery System , Mail Transaction Failed , Server Report , Status, Error , [caractères aléatoires]

Détection et désinfection (gratuit)

Détection et désinfection gratuites sur Secuser(et pour plus d'informations): http://www.secuser.com/alertes/2004/novarg.htm

Virus Dumaru.Y (mise à jour 26-01-2004)

Dumaru.Y est un virus qui se propage par email. Il se présente sous la forme d'un message prétendument envoyé par une correspondante prénommée Elene, dont le titre est "Important information for you. Read it immediately !" accompagné d'un fichier archive myphoto.zip. Si le fichier contenu dans ce dernier est exécuté, le virus s'envoie aux correspondants dont les adresses figurent dans le carnet d'adresses Windows et divers autres fichiers, installe un cheval de Troie puis un keylogger qui espionne les frappes au clavier.

Détection et désinfection (gratuit)

Détection et désinfection gratuites sur Secuser(et pour plus d'informations): http://www.secuser.com/alertes/2004/dumaruy.htm

Virus Sober.C - RESUME DE L'ALERTE (22-12-2003)

Sober.C est un virus qui se propage par email. Il se présente sous la forme d'un message dont le titre est aléatoire et dont le fichier joint comporte une extension en .BAT, .COM, .CMD, .EXE, .PIF ou .SCR, en tentant notamment de se faire passer pour une alerte virus ou pour une mise en garde suite à la découverte de fichiers illégaux sur l'ordinateur de la victime. Si le fichier joint est exécuté, le virus s'envoie aux correspondants présents dans le carnet d'adresses Windows, ainsi qu'aux adresses collectées dans divers autres fichiers. Le mail que vous recevez est particulièrement inquiétant et culpabilisant si vous n'êtes pas habitué à ce genre de choses, on vous dit en effet par exemple (dans certains mails)que le FBI a en sa possession toutes les infos de votre ordi, que vous êtes repéré en tant que trafiquant de fichiers illégaux, bref on irait presque à vous faire croire que vous êtes un vrai pirate démasqué et que d'un moment à l'autre, pour un peu, il faut vous attendre à voir débarquer la police chez vous... bref pas très drôle quand même!... ces messages invitent bien souvent donc à cliquer sur leur fichier joint pour éviter tous ces grands malheurs annoncés... et bien sûr! n'ouvrez en aucun cas la pièce jointe!... pas besoin de faire un dessin...
http://www.secuser.com/alertes/2003/soberc.htm

MSBLAST autrement appelé LOVSAN(aout 2003) et tous les liens pour protéger ou réparer votre ordinateur des nouveaux virus. Mise à jour régulière.

Voici de quoi vous dépanner gratuitement pour le virus qui a touché déjà des centaines de milliers d'ordinateurs en quelques heures dans le monde, mais aussi octobre 2003 nouveaux virus, informations ci-dessous:

http://www.info-virus.com/ Tout savoir sur les virus, mise à jour régulière.

http://www.secuser.com/telechargement/index.htm#lovsan Choisir FixBlast ( 165Ko) : détecte et élimine le virus Lovsan/Blaster.

et plus généralement (valable pour d'autres virus et informations utiles):

http://www.zataz.com

http://www.secuser.com/telechargement/index.htm

http://www.secuser.com (notamment antivirus gratuit en ligne)

et pour savoir faire la différence entre les vrais et les faux virus, voici le TOP du Net:

http://www.hoaxbuster.com

Toutes les infos des virus avec ZATAZ:

 

Spécial Virus NACHI:

Nachi est un second virus ciblant les ordinateurs vulnérables à la faille RPC de Microsoft. Si une machine connectée à Internet n'est pas à jour dans ses correctifs, Nachi l'infecte automatiquement à l'insu de l'utilisateur puis scanne le réseau à la recherche de nouvelles machines vulnérables. Il est par ailleurs programmé pour supprimer le virus Lovsan/Blaster.A si ce dernier se trouve sur la machine infectée. Le nom du fichier infectant est DLLHOST.EXE, mais il ne doit pas être confondu avec un fichier système de 5 Ko portant le même nom et qui ne doit pas être supprimé. Les utilisateurs ayant appliqué le correctif comblant la faille RPC ne sont pas concernés par cette alerte.
http://www.secuser.com/alertes/2003/nachi.htm

Systèmes concernés: windows NT, 2000 et XP

PREVENTION: Les utilisateurs concernés doivent mettre à jour leur antivirus. En cas de doute, les utilisateurs de Windows doivent également mettre à jour leur système via le site de Microsoft ou le service WindowsUpdate pour corriger la faille RPC exploitée par le virus pour s'exécuter automatiquement.
http://www.secuser.com/communiques/2003/030717_winrpc.htm
http://www.secuser.com/outils/index.htm#windowsupdate

DESINFECTION: Les utilisateurs ne disposant pas d'un antivirus peuvent utiliser gratuitement l'antivirus en ligne pour rechercher et éliminer le virus.
http://www.secuser.com/alertes/2003/nachi.htm#Desinfection

Autres VIRUS actuels, infos utiles:

SOBIG:

Alerte virale Pays : France Date de publication : 22 / 8 / 2003

Ce vendredi, à 21 heures, le virus Sobig va lancer son attaque pirate. Prudence ! Le virus mail Windows Sobig.F, le virus actuellement le plus répandu sur Internet avec 100 millions d'emails infectés circulant sur Internet a créé depuis son apparition il y a 4 jours de nombreuses pannes et d'interruptions d'emails.

Mais le virus Sobig.F semble vouloir créer une surprise supplémentaire pour les utilisateurs d'Internet. Tous les ordinateurs infectés entrent dans une deuxième phase aujourd'hui, Vendredi 22 août 2003. Ces ordinateurs vont utiliser les horloges atomiques pour synchroniser l'activation du code au même moment à travers le monde : à 19:00 UTC (12:00 à San Fransisco, 20:00 à Londres, 21:00 Paris, 05:00 Samedi à Sydney). A ce moment le ver se connectera à des machines répertoriées dans le code crypté du virus. La liste contient l'adresse de 20 machines situées aux USA, au Canada et en Corée du Sud.

"Ces 20 machines semblent être des PC de maison classiques, connectés à Internet avec une connexion type ADSL", explique Alexandre Durante, Directeur Général de F-Secure France. "Il semblerait que le groupe qui se trouve derrière Sobig les utilise pour qu'elles jouent un rôle dans cette attaque."

Le ver se connecte à l'une de ces 20 machines en s'authentifiant à l'aide d'un code de 8 bytes. Les serveurs répondent avec une adresse Web. Les machines infectées téléchargent un logiciel à partir de cette adresse et l'exécutent. A l'heure actuelle il n'y a aucune information concernant la nature du programme exécuté.

F-Secure a pu pénétrer dans le système et craquer le cryptage du virus mais l'adresse web envoyée par les serveurs ne mène nulle part. "Les développeurs du virus savent que nous pouvons casser leur code avant l'heure de l'attaque, l'analyser et trouver une contre attaque", explique Mikko Hypponen, Directeur du centre de recherche Anti-Virus de F-Secure. "Leur plan est donc de changer l'adresse web quelques secondes avant l'attaque par celle vers laquelle ils veulent diriger le virus. Au moment où nous aurons une copie du fichier, les machines infectées l'auront déjà téléchargé et exécuté."

Personne ne sait encore ce que ce programme peu faire. Il pourrait créer beaucoup de dommages, supprimer des fichiers ou encore lancer des attaques réseau. Les précédentes versions de Sobig accomplissaient des actions similaires mais moins complexes. Avec Sobig.E le ver téléchargeait un logiciel qui supprimait le virus lui-même (pour effacer ses traces, ndlr) et dérobait ensuite les mots de passe réseau et web des utilisateurs. Le ver installe ensuite un proxy mail qui lui permet d'envoyer des emails avec l'adresse de l'ordinateur infecté sans que l'utilisateur soit au courant. Il a en particulier été utilisé par les spammeurs pour envoyer leurs emails commerciaux. Sobig.F pourrait faire de même.. mais nous ne le saurons qu'après 21:00, aujourd'hui.

"Dès que nous avons pu craquer le cryptage utilisé par le virus pour cacher la liste des 20 machines, nous avons essayé de les neutraliser", poursuit Mikko Hypponen. F-Secure collabore avec les autorités et les diverses organisations CERT afin de déconnecter ces machines du Web. "Malheuresement, les créateurs du virus ont également anticipé une telle action. (...) Les 20 machines ont été sélectionnées sur les réseaux de différents opérateurs ce qui laisse à penser que nous n'aurons pas assez de temps pour toutes les identifier et les neutraliser(...) Même si une seule machine reste active se sera suffisant pour le virus."

Compte tenu des techniques très avancées utilisées par le virus il semble évident qu'il n'a pas été écrit par un jeune adolescent créateur de virii. Le fait que les précédentes versions aient été largement utilisées par les spammeurs ajoute l'élément du gain financier. Qui se cache derrière tout cela? "Cela me semble être du crime organisé", termine Mikko Hypponen.

Protégez vous de Sobig F - Gratuitement -Protégez vous des dernieres failles Windows - Gratuitement -Protégez vous de Blaster - Gratuitement -
(sources: www.zataz.com)

http://www.zataz.com/zatazv7/recherches.php?recherche=sobig&operateur=OR&p_i=0&k_i=0

Sobig.F est un virus qui se propage par email et via les dossiers partagés.Il se présente sous la forme d'un message dont le titre est aléatoire et d'un fichier joint dont l'extension est .PIF ou .SCR. Si ce fichier est exécuté, le virus s'envoie aux correspondants présents dans le carnet d'adresses Windows, ainsi qu'aux adresses email collectées dans les fichiers .DBX, ...HLP, .HTM ou .HTML de l'ordinateur infecté.
http://www.secuser.com/alertes/2003/sobigf.htm

DESINFECTION
Les utilisateurs ne disposant pas d'un antivirus peuvent utiliser gratuitement l'antivirus en ligne pour rechercher et éliminer le virus. http://www.secuser.com/alertes/2003/sobigf.htm#Desinfection

 

Spécial Virus DUMARU.A (24/08/2003)

Dumaru.A est un virus qui se propage par email. Il se présente sous la forme d'un message prétendument envoyé par Microsoft dont le titre est "Use this patch immediately !" accompagné d'un fichier PATCH.EXE, se faisant passer pour un correctif à installer d'urgence afin de se protéger des récents nouveaux virus. Si ce fichier est exécuté, le virus s'envoie aux correspondants dont les adresses figurent dans le carnet d'adresses
Windows et divers autres fichiers, installe un cheval de Troie puis infecte certains fichiers exécutables. Sa diffusion reste pour l'instant réduite, mais ce virus est entré dans l'espace francophone et pourrait connaître un pic de propagation ces prochains jours, sous l'effet combiné de la rentrée de nombreux utilisateurs insouciants et de la sur-médiatisation des virus.

http://www.secuser.com/alertes/2003/dumaru.htm
Les utilisateurs ne disposant pas d'un antivirus peuvent utiliser gratuitement l'antivirus en ligne pour rechercher et éliminer le virus.
http://www.secuser.com/alertes/2003/dumaru.htm#Desinfection

 

Forum de discussion et d'entraide sur les virus informatiques
http://www.secuforum.com/fr.comp.securite.virus/

Amicalement. V@lentin l'Ordin@teur M@lin