VIRUS ???
Fermé
barthoi
Messages postés
545
Date d'inscription
mardi 7 août 2001
Statut
Membre
Dernière intervention
27 novembre 2002
-
15 nov. 2001 à 13:11
ipl Messages postés 5723 Date d'inscription lundi 8 octobre 2001 Statut Contributeur sécurité Dernière intervention 14 avril 2012 - 15 nov. 2001 à 13:51
ipl Messages postés 5723 Date d'inscription lundi 8 octobre 2001 Statut Contributeur sécurité Dernière intervention 14 avril 2012 - 15 nov. 2001 à 13:51
A voir également:
- VIRUS ???
- Svchost.exe virus - Guide
- Faux message virus iphone - Forum iPhone
- Operagxsetup virus ✓ - Forum Virus
- Produkey virus ✓ - Forum Windows 10
- Vérificateur de lien virus - Guide
2 réponses
Ca ressemble fortement à une infection par le virus Nimda.
Voici les infos trouvées à :
http://aspirine.altasecu.com/control.html?encyclo
TYPE: virus de fichiers Windows 32 bits, ver Internet
TAILLE: 56 ko pour le fichier .exe, 78 ko pour le fichier .eml
CARACTERISTIQUES: n'a besoin d'aucune intervention de l'utilisateur
utilise des failles de sécurité dans Internet Explorer, Outlook et IIS (serveur web de Microsoft) -- Installez les patches !
modifie des sites web existants
DECOUVERT: 18 septembre 2001
Description générale :
Nimda a été découvert le 18 septembre, et semble se propager extrêmement rapidement à travers le monde. Il utilise des moyens très variés pour cela :
Envoi massif de mails à toutes les adresses trouvées dans MS Exchange et dans les pages HTML contenues sur le disque.
Copie de fichiers infectés sur les dossiers partagés en réseau local.
Attaque de serveurs Web IIS pour infecter des sites sur le Net. Les visiteurs de ces sites seront infectés à leur tour.
Tout ceci se fait en exploitant des failles de sécurité des logiciels Microsoft, donc de manière complètement invisible pour les victimes. Les fichiers attachés sont sauvegardés et lancés automatiquement, les paramètres de sécurité sont inutiles.
Pour s'en protéger, appliquer les patches disponibles en téléchargement chez Microsoft :
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/topics/Nimda.asp (en anglais)
Détails techniques :
Installation :
Nimda se copie dans le dossier de Windows, sous le nom MMC.EXE, et dans le dossier système, sous les noms RICHED20.DLL (à la place de l'original de Windows) et LOAD.EXE.
Il se copie aussi dans le dossier temporaire (C:\Windows\Temp) sous des noms aléatoires comme mep01A2.TMP ou mep1A0.TMP.exe.
Les fichiers .exe ont les attributs "caché" et "système".
Pour être lancé à chaque démarrage de Windows, Nimda modifie le fichier SYSTEM.INI en ajoutant :
[boot]
shell=explorer.exe load.exe -dontrunold
Transmission par mail :
Nimda collecte des adresses email en se connectant à MS Exchange par le système MAPI, et en scannant les fichiers HTML.
Il envoie à toutes ces adresses un message sans texte, parfois sans sujet, parfois avec un sujet portant le nom d'un fichier choisi au hasard sur la machine infectée. Le message contient une pièce jointe, readme.exe,
Transmission sur les réseaux locaux :
Nimda parcourt tous les lecteurs locaux et réseau, et infecte tous les dossiers trouvés de 2 manières :
Il crée des fichiers .eml (courriers Outlook) et quelques ficheirs .nws (fichiers Microsoft Internet News). On retrouve ces fichiers partout, il peut y en avoir des milliers. Ils contiennent un courrier infecté. Si on ouvre l'un de ces fichiers avec une version d'Outlook non patchée, le ver s'installe.
Il cherche tous les fichiers HTML, HTM et ASP dont le nom contient DEFAULT, INDEX, MAIN ou README. Il leur ajoute un petit JavaScript qui ouvre le fichier infecté README.EML, créé dans le même dossier. C'est en partie comme ça que des sites web se retrouvent infectés.
Il infecte les fichiers .exe .
Transmission par échange de fichiers :
Au cours de son exploration des lecteurs locaux et réseaux, Nimda infecte les fichiers .exe . L'échange entre utilisateurs de ces fichiers aide le virus à se répandre.
Transmission par attaque de serveurs IIS :
Nimda peut se télécharger (Upload) sur des serveurs web IIS : il scanne des adresses IP au hasard, et quand il trouve un serveur IIS vulnérable, il le force à télécharger un fichier infecté, ADMIN.DLL, et à l'exécuter. Le serveur web se retrouve contaminé, et Nimda peut scanner et infecter les pages de tous les sites hébergés sur ce serveur. Ainsi les utilisateurs d'Internet Explorer qui visiteront ces sites seront à leur tour infectés.
Autres actions :
Sur les ordinateurs infectés, Nimda effectue quelques modifications dont les effets peuvent être dramatiques.
Sur les réseaux locaux, il partage tous les lecteurs en lecture/écriture.
Il ajoute un administrateur de réseau, du nom de "Guest", sans mot de passe, qui a donc tous les droits.
Les utilisateurs d'Outlook qui ajoutent une signature HTML à leurs courriers transmettront Nimda dans la signature, à la manière de Kak.
Nimda a quelques bugs qui l'empêchent de se propager ou plantent l'ordinateur dans certaines situations.
Il contient une notice de copyright, jamais affichée :
Concept Virus(CV) V.5, Copyright(C)2001 R.P.China
Voici les infos trouvées à :
http://aspirine.altasecu.com/control.html?encyclo
TYPE: virus de fichiers Windows 32 bits, ver Internet
TAILLE: 56 ko pour le fichier .exe, 78 ko pour le fichier .eml
CARACTERISTIQUES: n'a besoin d'aucune intervention de l'utilisateur
utilise des failles de sécurité dans Internet Explorer, Outlook et IIS (serveur web de Microsoft) -- Installez les patches !
modifie des sites web existants
DECOUVERT: 18 septembre 2001
Description générale :
Nimda a été découvert le 18 septembre, et semble se propager extrêmement rapidement à travers le monde. Il utilise des moyens très variés pour cela :
Envoi massif de mails à toutes les adresses trouvées dans MS Exchange et dans les pages HTML contenues sur le disque.
Copie de fichiers infectés sur les dossiers partagés en réseau local.
Attaque de serveurs Web IIS pour infecter des sites sur le Net. Les visiteurs de ces sites seront infectés à leur tour.
Tout ceci se fait en exploitant des failles de sécurité des logiciels Microsoft, donc de manière complètement invisible pour les victimes. Les fichiers attachés sont sauvegardés et lancés automatiquement, les paramètres de sécurité sont inutiles.
Pour s'en protéger, appliquer les patches disponibles en téléchargement chez Microsoft :
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/topics/Nimda.asp (en anglais)
Détails techniques :
Installation :
Nimda se copie dans le dossier de Windows, sous le nom MMC.EXE, et dans le dossier système, sous les noms RICHED20.DLL (à la place de l'original de Windows) et LOAD.EXE.
Il se copie aussi dans le dossier temporaire (C:\Windows\Temp) sous des noms aléatoires comme mep01A2.TMP ou mep1A0.TMP.exe.
Les fichiers .exe ont les attributs "caché" et "système".
Pour être lancé à chaque démarrage de Windows, Nimda modifie le fichier SYSTEM.INI en ajoutant :
[boot]
shell=explorer.exe load.exe -dontrunold
Transmission par mail :
Nimda collecte des adresses email en se connectant à MS Exchange par le système MAPI, et en scannant les fichiers HTML.
Il envoie à toutes ces adresses un message sans texte, parfois sans sujet, parfois avec un sujet portant le nom d'un fichier choisi au hasard sur la machine infectée. Le message contient une pièce jointe, readme.exe,
Transmission sur les réseaux locaux :
Nimda parcourt tous les lecteurs locaux et réseau, et infecte tous les dossiers trouvés de 2 manières :
Il crée des fichiers .eml (courriers Outlook) et quelques ficheirs .nws (fichiers Microsoft Internet News). On retrouve ces fichiers partout, il peut y en avoir des milliers. Ils contiennent un courrier infecté. Si on ouvre l'un de ces fichiers avec une version d'Outlook non patchée, le ver s'installe.
Il cherche tous les fichiers HTML, HTM et ASP dont le nom contient DEFAULT, INDEX, MAIN ou README. Il leur ajoute un petit JavaScript qui ouvre le fichier infecté README.EML, créé dans le même dossier. C'est en partie comme ça que des sites web se retrouvent infectés.
Il infecte les fichiers .exe .
Transmission par échange de fichiers :
Au cours de son exploration des lecteurs locaux et réseaux, Nimda infecte les fichiers .exe . L'échange entre utilisateurs de ces fichiers aide le virus à se répandre.
Transmission par attaque de serveurs IIS :
Nimda peut se télécharger (Upload) sur des serveurs web IIS : il scanne des adresses IP au hasard, et quand il trouve un serveur IIS vulnérable, il le force à télécharger un fichier infecté, ADMIN.DLL, et à l'exécuter. Le serveur web se retrouve contaminé, et Nimda peut scanner et infecter les pages de tous les sites hébergés sur ce serveur. Ainsi les utilisateurs d'Internet Explorer qui visiteront ces sites seront à leur tour infectés.
Autres actions :
Sur les ordinateurs infectés, Nimda effectue quelques modifications dont les effets peuvent être dramatiques.
Sur les réseaux locaux, il partage tous les lecteurs en lecture/écriture.
Il ajoute un administrateur de réseau, du nom de "Guest", sans mot de passe, qui a donc tous les droits.
Les utilisateurs d'Outlook qui ajoutent une signature HTML à leurs courriers transmettront Nimda dans la signature, à la manière de Kak.
Nimda a quelques bugs qui l'empêchent de se propager ou plantent l'ordinateur dans certaines situations.
Il contient une notice de copyright, jamais affichée :
Concept Virus(CV) V.5, Copyright(C)2001 R.P.China
ipl
Messages postés
5723
Date d'inscription
lundi 8 octobre 2001
Statut
Contributeur sécurité
Dernière intervention
14 avril 2012
585
15 nov. 2001 à 13:51
15 nov. 2001 à 13:51
Mister BeeGee,
A toi tout seul, tu dois faire un bon pourcentage des accès à aspirine, non ? :-))
Je plaisante là !!!
Hélas, il y a de très très nombreux messages sur des attaques virales ces jours ci... 5 par jour !!!
Nous apprécions tes conseils ! merci !
A toi tout seul, tu dois faire un bon pourcentage des accès à aspirine, non ? :-))
Je plaisante là !!!
Hélas, il y a de très très nombreux messages sur des attaques virales ces jours ci... 5 par jour !!!
Nous apprécions tes conseils ! merci !
15 nov. 2001 à 13:49
:(