Fichier mmc.exe

Ah! le problème c'est que je tourne sous windows 98 SE.
Donc, je récapitule: j'ai un fichier mmc.exe (sain d'après norton) qui pèse 476 ko et j'ai également dans le systemini shell=explorer.exe (dont il est question dans l'article envoyé par mister beegee) mais pas de load.exe
ce qui fait 3 éléments douteux ( win 98Se, mmc.exe et explorer.exe)

Bonjour !
MMC veut dire Microsoft Management Console et est défini comme appartenant au : "Système d'exploitation de Microsoft(R) Windows NT(R)".
Je n'en sais pas plus.
A+

Bon, merci pour toutes ces explications. Mon micro se porte bien, alors je garde ce fichier.
@+

Je viens de constater que MMC.EXE peut être aussi une composante du virus NIMDA.
Infos trouvées à :
http://aspirine.altasecu.com/control.html?encyclo

TYPE: virus de fichiers Windows 32 bits, ver Internet
TAILLE: 56 ko pour le fichier .exe, 78 ko pour le fichier .eml
CARACTERISTIQUES: n'a besoin d'aucune intervention de l'utilisateur
utilise des failles de sécurité dans Internet Explorer, Outlook et IIS (serveur web de Microsoft) -- Installez les patches !
modifie des sites web existants
DECOUVERT: 18 septembre 2001

Description générale :
Nimda a été découvert le 18 septembre, et semble se propager extrêmement rapidement à travers le monde. Il utilise des moyens très variés pour cela :

Envoi massif de mails à toutes les adresses trouvées dans MS Exchange et dans les pages HTML contenues sur le disque.
Copie de fichiers infectés sur les dossiers partagés en réseau local.
Attaque de serveurs Web IIS pour infecter des sites sur le Net. Les visiteurs de ces sites seront infectés à leur tour.
Tout ceci se fait en exploitant des failles de sécurité des logiciels Microsoft, donc de manière complètement invisible pour les victimes. Les fichiers attachés sont sauvegardés et lancés automatiquement, les paramètres de sécurité sont inutiles.
Pour s'en protéger, appliquer les patches disponibles en téléchargement chez Microsoft :

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/topics/Nimda.asp (en anglais)

Détails techniques :

Installation :
Nimda se copie dans le dossier de Windows, sous le nom MMC.EXE, et dans le dossier système, sous les noms RICHED20.DLL (à la place de l'original de Windows) et LOAD.EXE.
Il se copie aussi dans le dossier temporaire (C:\Windows\Temp) sous des noms aléatoires comme mep01A2.TMP ou mep1A0.TMP.exe.
Les fichiers .exe ont les attributs "caché" et "système".
Pour être lancé à chaque démarrage de Windows, Nimda modifie le fichier SYSTEM.INI en ajoutant :

[boot]
shell=explorer.exe load.exe -dontrunold
Transmission par mail :
Nimda collecte des adresses email en se connectant à MS Exchange par le système MAPI, et en scannant les fichiers HTML.
Il envoie à toutes ces adresses un message sans texte, parfois sans sujet, parfois avec un sujet portant le nom d'un fichier choisi au hasard sur la machine infectée. Le message contient une pièce jointe, readme.exe,

Transmission sur les réseaux locaux :
Nimda parcourt tous les lecteurs locaux et réseau, et infecte tous les dossiers trouvés de 2 manières :


Il crée des fichiers .eml (courriers Outlook) et quelques ficheirs .nws (fichiers Microsoft Internet News). On retrouve ces fichiers partout, il peut y en avoir des milliers. Ils contiennent un courrier infecté. Si on ouvre l'un de ces fichiers avec une version d'Outlook non patchée, le ver s'installe.
Il cherche tous les fichiers HTML, HTM et ASP dont le nom contient DEFAULT, INDEX, MAIN ou README. Il leur ajoute un petit JavaScript qui ouvre le fichier infecté README.EML, créé dans le même dossier. C'est en partie comme ça que des sites web se retrouvent infectés.
Il infecte les fichiers .exe .
Transmission par échange de fichiers :
Au cours de son exploration des lecteurs locaux et réseaux, Nimda infecte les fichiers .exe . L'échange entre utilisateurs de ces fichiers aide le virus à se répandre.

Transmission par attaque de serveurs IIS :
Nimda peut se télécharger (Upload) sur des serveurs web IIS : il scanne des adresses IP au hasard, et quand il trouve un serveur IIS vulnérable, il le force à télécharger un fichier infecté, ADMIN.DLL, et à l'exécuter. Le serveur web se retrouve contaminé, et Nimda peut scanner et infecter les pages de tous les sites hébergés sur ce serveur. Ainsi les utilisateurs d'Internet Explorer qui visiteront ces sites seront à leur tour infectés.

Autres actions :
Sur les ordinateurs infectés, Nimda effectue quelques modifications dont les effets peuvent être dramatiques.

Sur les réseaux locaux, il partage tous les lecteurs en lecture/écriture.
Il ajoute un administrateur de réseau, du nom de "Guest", sans mot de passe, qui a donc tous les droits.
Les utilisateurs d'Outlook qui ajoutent une signature HTML à leurs courriers transmettront Nimda dans la signature, à la manière de Kak.
Nimda a quelques bugs qui l'empêchent de se propager ou plantent l'ordinateur dans certaines situations.
Il contient une notice de copyright, jamais affichée :

Concept Virus(CV) V.5, Copyright(C)2001 R.P.China