Recherche
Google
 Index

PCTimeWatch Logiciel de controle parental
PCTimeWatch
Contrôle parental

Concarneau
Concarneau

Simulation aérienne sur Windows

Creative Commons License
Ce/tte création est mise à disposition sous un
contrat Creative Commons.


Dossier supérieur
Antispyware - Adaware
Firewall
Ajouter aux Favoris

Infos sur les virus

 

Sites sur les virus :

Faq du forum fr.comp.securite.virus :
http://www.lacave.net/~jokeuse/usenet/faq-fcsv.html

Actualités (français) :
http://www.secuser.com/
http://www.sophos.fr/
http://www.zataz.com/

Théorie (français) :
http://claymania.com/nav-map-fr.html
http://websec.arcady.fr/virus.htm (site inaccessible)
http://securinet.free.fr/

Désinfection :
http://aspirine.org/frame.html?scripts
(contient quelques scripts pour se débarrasser de certains virus)
http://www.secuser.com/telechargement/index.htm

http://www.symantec.com/region/fr/avcenter/ (français)
http://www.kaspersky.com/ (anglais)
http://www.f-secure.com/ (anglais)
http://www.viruslist.com/fr/

 

Anciens virus  :

Les virus dont il est fait mention ci-dessous sont anciens. Ils sont donc répertoriés par les antivirus et ne peuvent plus se propager.
... Sauf en cas d'utilisation d'une ancienne disquette, du lancement d'un ancien programme, sur un ordinateur non protégé !

Le plus dangeureux était, sans conteste, le CIH Tchernobyl...

J'hésite à supprimer ces informations... qui peuvent encore être utiles !

Pour info :

Virus dangereux :

Selon Roland Garcia, contributeur du forum news:fr.comp.securite.virus (à consulter en cas de doute) :

"Les soit disant virus dangereux que sont ILoveYou ou Kournikova ne sont que des gadgets et il est évident de s'immuniser contre eux à l'avance.
Fabriquer une signature contre ces virus ne prend que 10 mn.
Les vrais virus sont du genre CIH, MTX, Hybris ou Magistr. Eux posent de sérieux problèmes de détection et de désinfection. Ils ne se diffusent pas en quelques heures et agissent en profondeur. Sauf rare coup de malchance votre éditeur sera averti avant vous et vous les aurez dans la base. C'est là que les qualités d'antivirus font la différence.

WIN95CIH Tchernobyl :

C'est sûrement le virus le plus destructeur (avec Magistr). Car il attaque le Bios, et peut rendre l'ordinateur inutilisable. Suivant ses variantes, il se déclenche le 26 avril (date de l'explosion de la centrale nucléaire du même nom), ou tous les 26 du mois.

Des infos :
http://www.viruslist.com/eng/viruslist.asp?id=3204&key=00001000050000500007

Un programme pour l'éradiquer (kill_cih) est disponible ici :
http://www.sarc.com/avcenter/kill_cih.html (anglais)

Ou alors (informations de Christian Fabre) :
Fix CIH pour rétablir le système :
http://grc.com/files/fix-cih.exe
Clean CIH pour éradiquer le virus :
http://www.pspl.com/download/cleancih.exe

Win32.Magistr :

Il existe plusieurs types de virus Magistr...

Virus de messagerie contenu en pièce jointe.
Très dangereux. Aussi bien sur Outlook que sur Netscape.
"Le sujet du message, le nom du fichier .exe qui l'accompagne sont produits aléatoirement... Parmi les symptômes qui peuvent traduire l'infection d'une machine par ce virus, on note la présence du fichier "WG-SKYF.DAT"...."

Exemple de virus Magistr :
expéditeur : l'occase l'occase ;
objet : !"#$ ;
pas de message d'inscrit dans le corps du mail, par contre une piece jointe qui est un fichier : CFGWIZ32.EXE

Pour l'éradiquer :
http://www.secuser.com/telechargement/desinfection.htm

Nouvelles versions de Magistr :

I-Worm.Magistr.b et I-Worm.Magistr.b.Poly
(les plus difficiles à détecter selon RG)

Magistr.B (alias Magistr.39921) est une variante polymorphique du virus Magistr :
http://www.secuser.com/alertes/2001/magistrb.htm

I-Worm.Readme
http://www.sophos.com/virusinfo/analyses/w32aposta.html

MTX :

Virus de messagerie contenu en pièce jointe.
Le nom de la pièce jointe peut varier (ex : READER_DIGEST_LETTER.TXT.pif). Le point important, c'est le nom de l'extension (.pif), invisible dans la configuration ordinaire de Windows.
voir http://www.europe.f-secure.com/v-descs/mtx.shtml
http://claymania.com/mtx-removal-fr.html
Il est préférable de modifier Windows pour qu'il affiche le nom du fichier en entier (voir).

Hybris :

Virus de messagerie contenu en pièce jointe. Il en existe différentes variantes (32 paraît-il).
Il ne se propage pas par l'intermédiaire du Carnet d'adresses, comme d'autres virus de messagerie, mais en s'incrustant dans une bibliothèque Windows (wsock32.dll).

blanche.scr (ou autre)
Le sujet du message est : Les 7 coquins nains ou Blanche neige et ...les sexe nains
Infos sur :
http://vil.mcafee.com/dispVirus.asp?virus_k=98873&
http://www.f-secure.com/v-descs/hybris.shtml

Pour le supprimer :
http://claymania.com/hybris-removal-fr.html

Un site est consacré au virus Hybris (en anglais) :
http://www.sexyfun.net/

Kak (Wscript.kakworm) :

Autre virus similaire : VBS_TAM.A
(la méthode d'éradication manuelle est semblable pour les deux (voir texte).
Bubbleboy est également de la même famille.
http://support.microsoft.com/support/kb/articles/Q240/3/08.ASP

(voir aussi) Virus contenu dans un message en HTML. Il s'active à cause d'une faille de sécurité des versions d'Outlook Express antérieures à la 5.01 (problème corrigé pour la 5.01 et versions ultérieures).
Il n'est pas dangereux... Il se contente, le 1 de chaque mois à partir de 18h00, d'afficher un texte au démarrage de l'ordinateur. Mais il se propage si on rédige ses messages en HTML.

Pour s'en débarrasser :
http://claymania.com/kak-removal-fr.html
script de désinfection :
http://aspirine.org/frame.html?scripts

Pour éviter d'en être à nouveau victime :
- effectuer les mise à jour critique sur le site Windows Update, ou,
- installer le patch :
http://www.microsoft.com/windows/ie_intl/fr/security/eyedog.htm

W32.Sircam.worm :

Virus de messagerie contenu en pièce jointe. Très répandu actuellement.
L'objet du message et le nom de la pièce jointe sont aléatoires (pris dans les fichiers de l'ordinateur infecté). Le seul identifiant, pour sa version anglaise, c'est un mail commençant par : Hi! How are you? et finissant par : See you later. Thanks
La taille du message peut aller de 288 Ko à plus de 1.6 Mo.

Premier indice d'infection : présence d'un fichier scam32.exe dans Windows\System.

Infos sur :
http://www.sophos.fr/virusinfo/analyses/w32sircama.html (français)
http://www.sarc.com/avcenter/venc/data/w32.sircam.worm@mm.html (anglais)

Téléchargement d'un utilitaire pour l'éradiquer :
http://www.symantec.com/avcenter/FixSirc.com
ou :
http://www.sophos.com/support/faqs/sircam.html
- télécharger : rmsirc.bat

Méthode de désinfection avec clrav.com :

Je n'ai pas essayé cette méthode, et je ne la garantis pas. Mais c'est la procédure à suivre pour télécharger un programme Dos, et le lancer à partir d'une fenêtre Commandes MS-DOS.

1 Télécharger l'utilitaire de désinfection :
- cliquer sur http://www.avp.ch/files/clrav.com
- enregistrer le fichier sur le disque dur, en notant le dossier dans lequel il est enregistré (normalement, un dossier Téléchargement).

2 Déplacer le fichier à la racine de C:
- cliquer avec le bouton droit sur le dossier Téléchargement (ou équivalent),
- sélectionner Explorer,
Dans la fenêtre de droite :
- cliquer avec le bouton droit sur clrav.com, en maintenant le bouton appuyé,
- faire glisser le fichier sur l'icône C: de la fenêtre de gauche,
- relâcher le bouton, et sélectionner Copier.

3 Lancer clrav.com :
- menu Démarrer, Programmes, Commandes MS-DOS,
Dans la fenêtre :
- taper cd.. (cd deux points)
- taper clav

VBS/Haptime-A :

Alias : VBS/Help, Happy Time, VBS/Haptime@MM
voir :
http://www.sophos.fr/virusinfo/analyses/vbshaptimea.html
"Il essaie d'infecter les fichiers avec les extensions VBS, HTML, HTM, HTT et ASP. Il essaiera aussi de supprimer les fichiers EXE et DLL lorsque la somme du mois et du jour est égale à 13 (par exemple, le 7 juin)".

voir (anglais) :
http://www.symantec.com/avcenter/venc/data/vbs.haptime.fix.html

Codered Nimda :

Ver qui attaque les serveurs web IIS

Nimda :

Nimda est un virus style Codered, il s'attaque aussi bien aux serveurs qu'aux ordinateurs utilisant Internet Explorer et Outlook Express.

C'est un mail accompagné d'une pièce jointe appelée read.exe ou readme.exe

Un signe d'infection : la présence de fichiers *.eml répartis sur le disque.

Il existe 2 versions principales de Nimda : A et E.
Elles sont éradiquables à l'aide de 2 utilitaires différents :
A : http://www.secuser.com/telechargement/Fixnimda.com
E : http://www.secuser.com/telechargement/FxNimdaE.com

Infos sur :
http://www.secuser.com/alertes/2001/nimda.htm
http://www.mmedium.com/cgi-bin/nouvelles.cgi?Id=5798
http://www.sophos.fr/virusinfo/analyses/w32nimdaa.html
http://www.symantec.com/avcenter/venc/data/w32.nimda.a@mm.html
http://www.cert.org/advisories/CA-2001-26.html

Logiciel pour éradiquer Nimda :
http://www.symantec.com/avcenter/venc/data/w32.nimda.a@mm.removal.tool.html

Badtransb :

Virus de messagerie contenu en pièce jointe.

Symptôme classique : Chaque pression sur la touche ^ affiche le double accent ^^.

voir :
http://www.secuser.com/alertes/2001/badtransb.htm :
"Le virus s'exécute automatiquement à l'ouverture du mail ou lors de son affichage dans la fenêtre de prévisualisation d'Outlook, si le navigateur est une version d'Internet Explorer 5.01 ou 5.5 non patchée contre une vulnérabilité MIME connue."

Klez :

Il existe plusieurs variantes de ce virus (A à H).

Principales caractéristiques :

Virus de messagerie accompagné d'une pièce jointe.
Le titre du message, ainsi que le contenu et le nom de la pièce jointe sont aléatoires.

Le virus peut se propager par l'intermédiaire de dossiers partagés.
Il peut désactiver antivirus et firewall.

"Il s'envoie le plus souvent avec une adresse qui n'est pas celle de la personne contaminée (spoofing d'adresse email)".
(donc, l'expéditeur apparent du message n'est pas forcément le coupable de l'infection).

"Le 6 de chaque mois impair (Janvier, Mars, Mai, Juillet, Septembre, Novembre) le virus Klez.E écrase les principaux fichiers de données du disque dur (TXT, HTM, HTML, WAB, DOC, XLS, CPP, C, PAS, MPEG, MPG, BAK, MP3, et JPG) de manière à ce que leur contenu ne soit plus récupérable." (www.secuser.com)

Klez E :
http://www.secuser.com/alertes/2002/klez.htm

Klez H :
http://www.secuser.com/alertes/2002/klezh.htm

Pour éradiquer Klez :
http://www.secuser.com/telechargement/FixKlez.com

Exemple de virus Klez :

virus en pièce jointe : Klez

Ne pas ouvrir les fichiers contenus en pièces jointes !!!

Pour supprimer le message et le virus :

- sélectionner le message dans la partie supérieure,
- maintenir la touche Majuscule enfoncée, et appuyer sur la touche Suppr, pour supprimer définitivement le message, sans l'envoyer dans Eléments supprimés.

Pour avertir le correspondant infecté par Klez :

Klez est envoyé par un utilisateur infecté à son insu.
Pour retrouver le véritable expéditeur :
http://www.secuser.com/alertes/killklez.htm

 

Frethem.K :

Virus de messagerie contenu en pièce jointe.

Il se copie dans le répertoire Windows sous le nom taskbar.exe.

voir :
http://www.secuser.com/alertes/2002/frethemk.htm

Utilitaire de désinfection :
http://www.secuser.com/telechargement/AntiFrethem.exe

Infos de www.secuser.com :
" Les utilisateurs d'Internet Explorer 5.01 ou 5.5 doivent auparavant s'assurer avoir appliqué le correctif permettant de combler la faille exploitée par le virus pour s'exécuter automatiquement.
http://www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp

Ce virus n'est pas destructif, mais il est souvent impossible de prévenir une personne infectée car Frethem.K peut s'envoyer avec l'adresse non pas de la victime mais d'un contact trouvé sur l'ordinateur de celle-ci."

BugBear :

Nouveau virus de messagerie. Il s'active à la simple lecture du mail. Il se propage en utilisant n'importe quelle adresse email qu'il trouve sur le PC. Il désactive les antivirus.
Il profite de la fameuse faille de sécurité d'Internet Explorer 5.01 et 5.5, donc, pour les utilisateurs de ce navigateur :
- télécharger les mise à jour critiques sur le site Windows Update, ou,
- installer Internet Explorer 6.x
En tous les cas, mettre à jour ses définitions de virus.

Infos :
http://www.secuser.com/alertes/2002/bugbear.htm

Désinfection :
http://www.secuser.com/telechargement/index.htm#BugBear
http://securityresponse.symantec.com/avcenter/FxBgbear.exe

Opaserv :

Présence de fichiers :brasil.exe, brasil.pif, scrsvr.exe, Alevir.exe

Voir :
http://www.secuser.com/alertes/2002/opaserv.htm
http://securityresponse.symantec.com/avcenter/venc/data/w32.opaserv.worm.html

Utilitaire de désinfection FixOpsrv pour rechercher et éliminer le virus :
http://www.secuser.com/alertes/2002/opaserv.htm

Téléchargez le correctif de Microsoft :
http://www.microsoft.com/technet/security/bulletin/MS00-072.asp

Naith :

Encore un nouveau virus exploitant la faille de sécurité d'Internet Explorer version 5.01 et 5.5. Voir :
http://www.secuser.com/alertes/2003/lirva.htm

 

Haut de page

| Copyright | Histoire d'Aidewindows | Assistance à domicile | Concarneau | Aide Informatique et Internet : www.ai2.fr

Hit-Parade des sites francophones