Virus VB

Que dit l'anti-virus ?
Les symptômes ressemblent à ceux du virus I LOVE YOU.
Voici les infos trouvées à :
http://aspirine.altasecu.com/control.html?encyclo

ALIAS: ILOVEYOU, I-Worm.LoveLetter
TYPE: Ver en Visual Basic Script
DECOUVERT: début mai 2000
CARACTERISTIQUES: utilise Outlook, mIRC, très destructeur antidote


C'est un ver en VBScript qui se propage dans des messages électroniques en utilisant les logiciels Outlook et mIRC. Seuls les utilisateurs d'Outlook et de mIRC ont donc quelque-chose à craindre. Mais ça, c'est plus un secret pour personne.

Le message contenant le virus est : sujet : ILOVEYOU
corps du message : kindly check the attached LOVELETTER coming from me.
attachement : LOVE-LETTER-FOR-YOU.TXT.vbs


Quand on double-clique sur le fichier joint, on exécute le ver. Il commence par se copier dans le répertoire système de Windows, dans les fichiers

MSKernel32.vbs et
LOVE-LETTER-FOR-YOU.TXT.vbs
puis dans le répertoire Windows, dans le fichier
Win32DLL.vbs
Il ajoute ensuite 2 clés à la base de registres, pour être relancé à chaque démarrage de l'ordinateur : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion­\Run\MSKernel32
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion­\RunServices\Win32DLL

LoveLetter remplace la page d'accueil d'Internet Explorer par un lien sur un fichier exécutable, WIN-BUGSFIX.exe, et crée le fichier HTML LOVE-LETTER-FOR-YOU.HTM dans le répertoire système de Windows.

Il utilise alors Outlook pour s'envoyer par e-mail à toutes les adresses de tous les carnets d'adresses.

Et pour terminer, il recherche les fichiers ayant les extensions suivantes : .jpeg, .mp3, .mp2,.jpg .js, .jse, .css, .wsh, .sct, et .hta sur les disques locaux et réseaux, et les remplace par une copie de lui-même. Il change leur extension en .vbs ou .vbe.

Variantes connues le 6 mai 2000 :
variante sujet du message fichier(s)
A - Original ILOVEYOU LOVE-LETTER-FOR-YOU.TXT.vbs
B - variante Lithuanienne Susitikim shi vakara kavos puodukui...
("Rendez-vous ce soir pour le café" en lithuanien) LOVE-LETTER-FOR-YOU.TXT.vbs
C - Very Funny FW: Joke Very Funny.vbs et Very Funny.HTM
D - comme la A fichier corrompu, ne se propage pas
E - fête des Mères Mothers Day Order Confirmation mothersday.vbs
F - Dangerous Virus Warning Dangerous Virus Warning virus_warning.jpg.vbs
G - Virus Alert from Symantec Virus ALERT!!!, de "support@symantec.com" protect.vbs
H - variante mineure de la A
I - BrainStorm Important ! Read carefully !! IMPORTANT.TXT.vbs


D'autres variantes sont apparues plus tard. L'une d'elles a fait beaucoup de bruit à partir du 16 août :
LoveLetter.BD : Ce virus vole sur l'ordinateur infecté des informations concernant la connexion à une banque suisse. Il envoie ces informations à 3 adresses électroniques.

Cette variante se transmet dans le courrier : sujet : Resume
attachement : resume.txt.vbs

La variante LoveLetter.AS, connue aussi sous le nom de VBS/Columbia, apparue dans le courant de l'été 2000, a fait une percée fin septembre.

le fichier etait un fichier image de type laure.jpg.vbs
y a t il un moyen de recuperer mes données
est ce que formater mon disque est la seule solution

Tant que le virus n'est pas identifié, il est impossible de répondre.
Voir à :
http://www.secuser.com/alertes/index.htm
http://www.secuser.com/telechargement/index.htm

Flo,
Identifie ton virus avec un AV bien à jour... tu peux aller sur le site des éditeurs, par exemple http://security2.norton.com/fr/



Un de mes utilisateurs a eu droit à LoveLetter il y a 3 mois :
-Norton AntiVirus détectait mais ne parvenait pas à réparer si bien que mes fichiers sont en quarantaine depuis lors,
-à chaque mise à jour de mes signatures et/ou programme, j'essaie de réparer ces fichiers en quarantaine... toujours sans succès.

Enlever le virus du disque est une chose, récupérer les images me semble désespéré (fichier image complètement altéré).

Vérifie ton disque avec un programme AntiVirus bien à jour :
-tu peux sûrement isoler (mettre en quarantaine) tous les fichiers infectés.. (vérifie en recherchant tous les *.vbs et note tous les fichiers à double extension)
-bien sûr si le kernel ou des fichiers système cruciaux sont touchés, il n'y a plus qu'à reformater
-pour tes fichiers images et vidéos... à mon avis peu d'espoir de récupération !

Surtout, surtout :
-décocher la case "masquer les extensions"
-ne jamais ouvrir un fichier reçu par e-mail qui n'avait pas été annoncé (y compris et en particulier de qqn de connu)
-détacher un fichier et le scanner avant utilisation

Ne pas confondre VB, VBA et VBS

Bonne chance Flo !

P.S. : Merci à Mister BeeGee pour ses conseils toujours très éclairés !

je crois que c'est celui d' i love you
le programme commence par rem==========

Flo,
Va à l'adresse indiquée par Mister BeeGee
http://aspirine.altasecu.com/control.html?encyclo
-cherche le virus LoveLetter
-télécharge l'antidote et suis les conseils du site.

-Mets ton AntiVirus à jour et analyse ton disque
Tu peux te procurer un version d'essai de 30 jours de Norton AntiVirus à l'adresse
http://www.symantec.fr (en bas à droite "version limitée à 30
jours")

en fait le nom du virus est "plan colombia"