Les dix virus les plus actifs durant l'année 2001

En 2001, 10.000 nouveaux virus ont vu le jour, ce fût l’année des vers, en effet 100% du Top Ten des menaces 2001 incluent au moins un composant ver, c’est à dire la capacité de se propager massivement via le courrier électronique ou le partage réseau. Cette l’année des menaces “combinées”, tels que Code Rouge, Code RougeII et Nimda qui utilisent plusieurs méthodes d’attaques ou de propagation, leur donnant le pouvoir d’être plus fécond, et de causer encore plus de dommages que les vers et virus dits classiques.

Le virus : W95.Hybris.gen
W95.Hybris.gen est un ver qui se propage par courrier électronique. Le message peut inclure le texte suivant : hahaha@sexyfun.net , Snow White and the Seven dwarves
La pièce jointe au message peut avoir un des noms suivants : Anpo porn.scr, Atchim.exe, Branca de neve.scr, Dunga.scr, Dwarf4you.exe, Enamo porno.exe, Joke.exe, Midgets.scr, Sexy virgin.scr
Instructions pour supprimer le virus
Lancez LiveUpdate
Lancez une analyse de Norton AntiVirus sur tous les fichiers de vos disques durs
Lorsque Wsock32.dll est détecté comme étant infecté, choisissez l’option réparer le fichier. Si Norton AntiVirus vous indique qu’il ne peut pas réparer le fichier vous devrez le remplacer à partir du CD ROM d’installation de Windows
Supprimez tous les autres fichiers détectés comme infectés. Il faudra les restaurer à partir de copies de sauvegardes saines RETOUR

Le virus : W95.MTX
W95.MTX est composé d’un virus et d’un ver. Il se propage par email. Il infecte aussi les fichiers exécutables Win32 dans certains répertoires. Le virus a la capacité de bloquer l‘accès à certains sites Web.Le ver copie le fichier Wsock32.dll et nomme la copie Wsock32.mtx. Ceci permet au ver d’envoyer une copie infectée du ver à tous les destinataires à qui un courrier électronique est envoyé.
Voici une liste des noms de fichiers que le virus utilise : I_wanna_see_you.txt.pif, Matrix_screen_saver.scr, Love_letter_for_you.txt.pif, New_playboy_screen_saver.scr, Bill_gates_piece.jpg.pif, Tiazinha.jpg.pif, Feiticeira_nua.jpg.pif, Geocities_free_sites.txt.pif, New_napster_site.txt.pif, Metallica_song.mp3.pif, Anti_cih.exe, Internet_security_forum.doc.pif, Alanis_screen_saver.scr, Reader_digest_letter.txt.pif, Win_$100_now.doc.pif, Is_linux_good_enough!.txt.pif, Qi_test.exe Avp_updates.exe, Seicho_no_ie.exe, You_are_fat!.txt.pif, Free_xxx_sites.txt.pif, I_am_sorry.doc.pif, Me_nude.avi.pif, Sorry_about_yesterday.doc.pif, Protect_your_credit.html.pif, Jimi_hendrix.mp3.pif, Hanson.scr, F___ing_with_dogs.scr, Matrix_2_is_out.scr, Zipped_files.exe, Blink_182.mp3.pif.
Instructions pour supprimer le virus
Pour mettre à jour vos définitions de virus, rendez vous à l’adresse suivante : www.digitalriver.com/symantec/virus
Lancez une analyse de Norton AntiVirus sur tous les fichiers de vos disques durs
Utilisez l’outil de réparation mis à disposition par Symantec en Cliquez ici. RETOUR

Le virus :W32.Magistr.24876@mm
W32.Magistr.24876@mm est un virus qui se propage via la messagerie électronique ainsi que les lecteurs réseaux. Il va infecter les fichiers Windows Portable Exécutables sauf les fichiers .dll système. Il enverra des messages email aux adresses qu’il trouvera dans les fichiers Outlook/Outlook Express.dbx et.mbx ainsi que dans les fichiers contenant les éléments envoyés de Netscape et le carnet d’adresse de Windows (.wab), si ceux ci sont utilisés par Outlook/Outlook Express. Le courrier envoyé aura jusqu’à deux pièces jointes ainsi qu’un sujet et un corps de message créé de façon aléatoire.
Alors le virus lancera ses actions destructrices : effacer les fichiers infectés, effacer le CMOS (Windows 9x/Me uniquement), flasher le BIOS (Windows 9x/Me uniquement), remplacer un fichier texte sur 25 par le texte YOUARESHIT, supprimer des fichiers de façon aléatoire. Si l’ordinateur est infecté depuis deux mois, les icônes du bureau seront déplacées et au bout de trois mois les fichiers infectés seront effacés .
Instructions pour supprimer le virus
Lancez LiveUpdate afin de mettre à jour vos définitions de virus
Lancez Norton AntiVirus et faites une analyse complète du système
Pour tous les fichiers détectés comme infectés par W32.Magistr.24876@mm cliquez sur réparer. RETOUR

Le virus : Code Red II
Une nouvelle variante du ver Code Red est apparue le premier week end d'août. Cette variante Code Red.v3 utilise la même faille dans IIS de Microsoft pour se propager que le ver d'origine, mais ses conséquences peuvent être beaucoup plus graves. En effet une composante Cheval de Troie a été rajoutée au ver qui permet à l'attaquant d'accèder à distance à tous les fichiers du serveur Web.
Instructions pour supprimer le virus
Le correctif de sécurité proposé par Microsoft depuis mi Juin bloquera cette version comme les précédentes. Il peut être téléchargé a l'adresse : http://www.microsoft.com/technet/security/bulletin/MS01-033.asp
Contrairement au ver d'origine, cette version écrit des fichiers sur le disque, les utilisateurs de Norton AntiVirus seront donc protégés contre ce ver qui sera détecté avec les défintions du 5 Aout 2001. RETOUR

Le virus : W32.HLLW.Bymer
W32.HLLW.Bymer est un virus écrit dans un langage complexe. Ce ver se propage via les lecteurs réseaux partagés et se copie dans le répertoire système de Windows.
Il existe deux variantes de ce virus. La première arrive au sein d’un fichier nommé Wininit.exe. La seconde se nomme Msinit.exe. Les deux variantes ont les mêmes fonctionnalités, mais leur action varie légèrement. Wininit.exe contient le client Dnetc alors que Msinit.exe le copie uniquement.A sa première exécution, le ver modifie les entrées suivantes dans la base de registre : HKLM\Software\Microsoft\Windows\CurrentVersion\Run HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Ceci assure l’exécution du virus au démarrage du PC. Il tente ensuite immédiatement de se propager, en recherchant des adresses IP de lecteurs partagés. La recherche se fait par intervalle de 2 secondes.
Instructions pour supprimer le virus qui demande un peu de dextérité
Lancez LiveUpdate
Redémarrez l’ordinateur en mode protégé
Lancez une analyse de Norton AntiVirus sur tous les fichiers de vos disques durs
Effacez les fichiers placés par le ver sur votre disque dur
Faites une recherche sur votre disque c : pour le fichier wininit.exe
Effacez tous les fichiers trouvés SAUF celui dans le répertoire c:\windows
Faites une recherche sur c : pour les fichiers suivants : ms ???.exe, ms ????.exe, dnetc.exe, dnetc.ini, dnetc.vbs, msclient.exe, info.dll et flcss.exe
ATTENTION il ne faut pas effacer tous les fichiers trouvés
Les premiers fichiers à supprimer seront les résultats de la recherche ayant la forme suivante : MS ou MSI suivis de trois chiffres exemple MS216.exe ou MSI216.exe
Ensuite il faut supprimer les fichiers commençant par MI suivi de deux chiffres par exemple, MI24.exe
Supprimer les programme Dnetc.exe, dnetc.ini et dnetc.vbs si ils sont présents
Supprimez l’entrée du ver dans le fichier win.ini
Allez dans le menu démarrer, sélectionnez exécuter et tapez sysedit
Sélectionnez win.ini
Dans la section Windows de win.ini recherchez une entrée qui ressemble à ceci load=c:\windows\system\msi216.exe, supprimez toute la ligne
Recherchez dans la section windows l’entrée load=c:\windows\system\wininit.exe
Recherchez dans la section Windows l’entrée run=c:\windows\system\wininit.exe
Quitter le programme en cliquant sur oui quand il vous demande si vous voulez sauvegarder
Supprimez les entrées que le ver a placées dans la base de registre de windows
Allez dans le menu Démarrer choisissez exécuter et tapez regedit
Trouvez la clé HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run et supprimez l’entrée bymer.scanner
Supprimez aussi les valeurs suivantes si elles sont présentes : distributed.net.client «C:\Windows\system\dnetc.exe», internat «C:\Windows\internat.exe» -hide, et msinit «C:\windows\system\ms***.exe»
Trouvez la clé HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
Supprimez les valeurs distributed.net.client «C:\Windows\system\dnetc.exe», internat «C:\Windows\internat.exe» -hide, et msinit «C:\windows\system\ms***.exe»
Redémarrez l’ordinateur RETOUR

Le virus : W32.Badtrans.B@mm
W32.Badtrans.B@mm est un vers MAPI (outlook expres) qui se réplique de par lui-même dans différents noms de fichiers.
Ce vers créé aussi un DLL dans le répertoire \Windows\System avec pour nom Kdll.dll. Il utilise les fonctions de ce DLL pour enregistrer les frappes clavier.
Ce ver arrive par e-mail avec un des noms de fichiers attachés suivants et une combinaison de 2 extensions de fichiers joints.
La liste de noms de fichiers rencontrés sont : HUMOR, DOCS, S3MSONG, ME_NUDE, CARD, SEARCHURL, YOU_ARE_FAT!, NEWS_DOC, IMAGES, PICS
Utilise des commandes MAPI pour envoyer les mails.
Compromet les paramètres de sécurité : Installation de chevaux de troie qui enregistrent les frappes claviers.
Instructions pour supprimer le virus
1. Lancez LiveUpdate afin de mettre à jour vos définitions de virus
2. Lancez Norton AntiVirus et faites une analyse complète du système
3. Pour tous les fichiers détectés comme infectés par W32.Badtrans.B@mm cliquez sur supprimer. TOUR

Le virus :Wscript.KakWorm
Wscript.KakWorm est un ver qui se propage en utilisant Microsoft Outlook Express, en s’attachant en tant que signature à tous les messages expédiés.
Le ver utilise une faille de sécurité connue d’Outlook Express. Le fait de simplement lire un courrier ayant la pièce jointe attachée infecte le PC.
Le ver s’attache automatiquement aux mails expédiés en tant que fichier de signature.
Le ver va utiliser 3 types de fichiers pour entrer en action : .hta, .reg, .bat
Une machine infectée affichera à l’écran le premier de chaque mois le message suivant : «Kagou-Anti-Kro$oft says not today !» Si vous cliquez sur OK, l’ordinateur s’arrêtera. Instructions pour supprimer le virus
Utilisez l’outil développé par Symantec en cliquant ici. RETOUR