INTRODUCTION

Voici quelques informations sur les virus, des mises en garde et des informations pour les éliminer.

Suite aux problèmes avec le vers Blaster, il me semble important de rappeler qu'il est conseillé d'installer les correctifs de chez Microsoft avec Windows Update (ou le CD gratuit de MàJ Microsoft ), avoir un anti-virus (avec mises à jour régulières comme Avast! ou le leader Kaspersky si vous n'en avez pas déjà un) et de ne pas ouvrir les fichiers liés dans les émail dont vous n'êtes pas sûr. Les virus n'utilisent pas seulement les émail, lors de surf, on peut être infecté par certains sites mal intentionnés qui peuvent utiliser dans leurs pages le Java ou de plus en plus ActiveX pour transmettre des virus. Lors du téléchargement de programmes avec des logiciels de Peer to Peer comme Kazaa, il arrive aussi fréquemment que ces programmes soient contaminés (donc à contrôler à la réception avec un anti-virus !). Pour finir, si votre PC n'est pas connecté à internet et que vous n'utilisez que des logiciels du commerce, un anti-virus est inutile. Pour les autres, il est conseillé, mais pour détecter les virus, ils recherchent les signatures des virus par rapport à celles qu 'ils ont dans leur base de donnée. Donc sans mises à jours régulières, leur base de donnée ne peut contenir les signatures de nouveaux virus et donc ne peut les détecter. Pour finir, l'efficacité d'un anti-virus n'est pas de cent pour cent, car il faut quelques jours le temps que les nouveaux virus soient détectés et que leur signature soit ajoutée et il y a des mutations et variantes (Blaster.A, Blaster.B,...ou Netsky.C, Netsky.D...).

Pour finir, face aux nouvelles menaces les anti-virus ont changés et en plus des virus ils traquent les spywares, adawares, rootkit, trojans... et pour certaines versions ils intégrent un par-feux et un anti-spam.

ACTUALITE DE SOPHOS

CARTE DU POURCENTAGE D'INFECTIONS DE PANDA

LIENS VERS LES EDITEURS D'ANTIVIRUS

ALWIL avec Avast!

Site officiel (en anglais)
Info (en anglais) et outil de réparation des virus (en anglais)

AntiVir

Site officiel (en anglais)

Authentium avec AVMatrix Command

Site officiel (en anglais)
Outils de réparation des virus (en anglais)
Actualité et top virus (en anglais)
Scan antivirus en ligne (en anglais)

BitDefender

Site officiel
Info (en anglais) et outils de réparation des virus (en anglais)
Actualité et top virus
Scan antivirus en ligne (avec Internet Explorer)

Computer Associate avec eTrust

Site officiel
Info (en anglais) et outils de réparation des virus (en anglais)
Actualité et top virus (en anglais)
Scan antivirus en ligne (en anglais avec Internet Explorer)

F-Secure

Site officiel
Info (en anglais) et outils de réparation des virus (en anglais)
Actualité et top virus (en anglais)

FRISK avec F-Prot

Site officiel (en anglais)
Info (en anglais)

Grisoft avec AVG

Site officiel
Info (en anglais) et outils de réparation des virus
Actualité et top virus

Kaspersky

Site officiel
Info et outils de réparation des virus
Actualité et top virus
Scan antivirus d'un fichier en ligne

Mc Afee

Site officiel
Info et outils de réparation des virus (en anglais)
Actualité et top virus (en anglais)
Scan antivirus en ligne (en anglais avec Internet Explorer)

Norman

Site officiel
Info et outils de réparation des virus (en anglais)

Panda

RAV

Site officiel (en anglais)
Info (en anglais)
Actualité et top virus (en anglais)
Scan antivirus en ligne (en anglais avec Internet Explorer)

Sophos

Site officiel
Info et outils de réparation des virus
Actualité et top virus

Symantec avec Norton

Site officiel
Info et outils de réparation des virus (en anglais)
Actualité et top virus
Scan antivirus en ligne (avec Internet Explorer)

Tegam avec ViGuard

Site officiel

Trend Micro

Site officiel
Info et outils de réparation des virus (en anglais)
Actualité et top virus
Scan antivirus en ligne (avec Internet Explorer)

VirusBuster

Site officiel (en anglais)
Info (en anglais) et outils de réparation des virus
Actualité et top virus

TESTER VOTRE ANTIVIRUS

Test Eicar

Pour vérifier que les antivirus sont actifs, l'industrie des antivirus à créer un faux virus plutôt que d'utiliser un vrai virus. Ce virus contient dans un fichier Eicar.com, Eicar.exe ou Eicar.bat en mode texte cette ligne :

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Les signatures de virus des antivirus sont programmés pour considérer ce fichier comme un vrai virus ce qui doit entraîner une réaction de l'antivirus en le supprimant ou le mettant en quarantaine. Vous pouvez télécharger le fichier Eicar.com . Attention, même si Eicar n'est pas un virus, ce site ne peut être tenu responsable de la réaction de l'antivirus.

ALERTES

Sober.i (24/11/04)

Cette variante de Sober se répand depuis une semaine à travers un mail du type "Faulty mail delivery" ou "Delivery failure notice" et une pièce jointe infectée d'environ 55Ko. Lorsque ce fichier infecté le PC, il envoie des émail identiques aux contacts avec une pièce jointe contaminée. Le PC est contaminé par deux fichiers, mais si vous essayez d'en supprimer un l'autre le recré ce qui les rendent difficiles à effacer manuellement. Heureusement les anti-virus peuvent les supprimer.

Protection : La meilleure protection est de ne pas lancer de pièces jointes d'origine inconnue et d'avoir un antivirus à jour.

MyDoom.AG (10/11/04)

Cette variante de MyDoom est identifiée par McAfee et Symantec. Elle se propage par émail, mais n'utilise pas de pièce-jointe infectée, mais un lien html qui renvoi vers une page web qui infecte le PC. Il utilise une faille iFrame de Internet Explorer et se repend en envoyant des mails aux contacts du type "Look at my homepage with my last webcam photos!" ou "FREE ADULT VIDEO! SIGN UP NOW!" avec un lien vers une page web.

Protection : La meilleure protection est de ne pas cliquer sur ce type de liens, d'avoir un antivirus à jour et d'utiliser un firewall.

Famus (10/11/04)

Ce ver se propage par émail grâce à une pièce-jointe infectée qui est présenté comme une vidéo sur la réaction de Ben Laden aux élections américaines. Ce fichier infecte le PC qui envoi des émails infectés aux contacts.

Protection : La meilleure protection est de ne pas lancer de pièces jointes d'origine inconnue et d'avoir un antivirus à jour.

Bagle.BC (02/11/04)

Ce ver comme les variantes BD et BE se propage par émail grâce à une pièce-jointe infectée mais peut aussi utiliser le P2P. Ce fichier infecte le PC, désactive les antivirus et systèmes de sécurité puis envoi des émails infectés aux contacts.

Protection : La meilleure protection est de ne pas lancer de pièces jointes d'origine inconnue et d'avoir un antivirus à jour.

Sasser.E (09/05/04)

Correctif Microsoft KB835732 pour Win XP (2,651Mo).
Correctif Microsoft KB835732 pour Win 2000 (6,51Mo).
Utilitaire de suppression Microsoft (variantes A à E) (332Ko).
Procédure de suppression Microsoft ou Symantec.

Identifié le 09/05/04, cette variante éteint et redémarre toujours toutes les 60 secondes le PC en utilisant la faille LSASS (Local Security Authority Subsystem Service) mais curieusement il supprime le ver Baggle s'il est présent sur le PC. Une guerre des vers !.
Protection : Installer le correctif Microsoft KB835732 pour combler la faille LSASS. Le correctif pour Windows 2000 semble avoir un bug, certaines personnes se sont retrouvées dans l'impossibilité de se connecter à cause d'un problème d'identification.
Suppression : Microsoft a mis en ligne un utilitaire de suppression et Symantec une procédure.

Sasser (02/05/04)

Correctif Microsoft KB835732 pour Win XP (2,651Mo).
Correctif Microsoft KB835732 pour Win 2000 (6,51Mo).
Utilitaire de suppression Microsoft (332Ko).
Procédure de suppression Microsoft ou Symantec.

Identifié le 30/04/04, ce ver a une propagation très rapide mais n'est pas considéré comme très dangereux (il éteint et redémarre en boucle le PC malgré tout !). Il s'attaque à ;Windows 2000, XP et 2003 en utilisant la faille LSASS (Local Security Authority Subsystem Service) et se répand en utilisant les ports TCP 445, 5554 et 9996.
Protection : Installer le correctif Microsoft KB835732 pour combler la faille LSASS. Le correctif pour Windows 2000 semble avoir un bug, certaines personnes se sont retrouvées dans l'impossibilité de se connecter à cause d'un problème d'identification.
Suppression : Microsoft a mis en ligne un utilitaire de suppression et Symantec une procédure.

Netsky-Q (10/04/04)

Cette variante de Netsky utilise les émails pour se propager. Les PC contaminés envoient des émails avec piéces-jointes (généralement .pif) contaminés aux contacts (jusqu'à 8 en même temps) pour se répandre puis lancent un grand nombre de requêtes aux sites de P2P comme eMule, eDonkey ou KaZaA ainsi que des sites de piratages (crack...) de façon à les saturer par déni de service. Un ver qui est contre le piratage !!!!.Comme pour les autres variantes de Netsky il ne faut pas ouvrir les piéces-jointes d'origine et de contenu inconnu et supprimer l'émail.

Ver Bagle

Ce ver utilise un fichier joint (généralement zip) aux émails pour se propager. Il y a environ 5 variantes de C à G.Il se lance au démarrage du PC infecté, ouvre le port 2745 (cela permet d'exécuter des ordres à partir d'un PC distant).

Ver Wanadoo

Ce ver fait 435 octets et se répand actuellement via eMule (mais peut rapidement toucher d'autres réseaux P2P !). Toutes les versions de Windows sont touchées. Il ajoute une entré dans la base de registre ici HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run pour se lancer au démarrage de Windows et se copie dans le dossier "emule incoming" sous les différents noms : AOL Hacker 2004, Hotmail Hacker 2004, Portable Orange (FT) Keygen, Yahoo Mail Hacker 2004, WinZip All Version Keygen, WinRAR All Version Keymaker, Sexy ScreenSaver 2004, Free Hard Porn 2004, Wanadoo Hacking Tool 2004, Alcohol 120% 1.4.8.1009 CORE Keygen ou Homeworld 2 DEViANCE Keygen. Donc méfiance si vous avez ou vous téléchargez ces fichiers.

BugMafia

BitDefender a annoncé avoir détecté le 17/10/03 un ver de type backdoor nommé BugMafia. Son auteur semble être roumain. Il est présent dans une archive pour Divx contenant les sous-titres du film "Kill Bill" (dernier film de Quentin Tarantino). Il réunit des informations (mot de passe, info système..) et les envois par émail à BUG_Mafia@as.ro et mandaril@as.ro. Le FAI roumain as.ro a été prévenue pour fermer ces adresses émail mais ce problème peut être présent pour d'autres films.

Faux émail Microsoft = Ver Swen (18/09/03)

Correctif Microsoft MS03-032 pour IE 6 SP1 (2,12Mo).
Correctif Microsoft MS03-032 pour IE 6 pour Win XP(2,51Mo).
Correctif Microsoft MS03-032 pour IE 5.5 SP2 (2,23Mo).
Correctif Microsoft MS03-032 pour IE 5.01 pour Win 2000 SP3 et SP4 (1,84Mo).
Utilitaire de suppression de Swen.A de Computer Associates(336Ko).
Information Microsoft .

De nombreuses personnes on reçu un émail en Anglais de "Microsoft Corporation Security Support" , "MS Corporation Security Division", Microsoft Security Section" ou "MS Network security Section" (j'en ai reçu cinq en trois jours !). Il utilise une mise en page Microsoft de type très officiel et contient un "soit disant" patch correctif qui est lié. Il faut supprimer cet émail car il ne provient pas de Microsoft mais contient un fichier lié qui n'est autre que le ver Swen. Il faut savoir qu'en aucun cas Microsoft incorpore des correctifs dans ses émails, ils mettent toujours des liens vers les pages ou ils expliquent le problème, les versions de windows concernées et la langue pour le téléchargement des correctifs. Ce ver apparu le 18 septembre 2003 s'attaque à Outlook et aux messageries. Il en résulte un nombre important d'émails infectés envoies. Il se répand par émail mais aussi les logiciels de P2P comme Kazaa et les messageries instantanées.
Protection : Installer le correctif Microsoft correspondant à la version d'Internet Explorer (ou avec Windows Update en cas de doute), mettre son anti-virus à jour et ne pas ouvrir les fichiers liés inconnus.
Suppression : La suppression n'est pas toujours facile. On peut utiliser son anti-virus après l'avoir mis à jour ou utiliser l'utilitaire de chez Computer Associates (en Anglais).

Blaster

Correctif Microsoft MS03-039 pour Windows XP(1,47Mo).
Correctif Microsoft MS03-039 pour Windows 2000(9,19Mo).
Utilitaire de suppression de Blaster de Symantec(336Ko).
Information Microsoft.

De nombreux PC sous Windows XP, 2000 et NT ont été infectés par ce ver. Le PC lorsqu'il est connecté à Internet affiche une fenêtre indiquant un problème avec NT Autority et un compte à rebours d'une minute après quoi il reboot. Ce ver découvert le 11 août 2003 utilise une faille dans le DCOM.
Protection : Installer le correctif Microsoft MS03-039 (ou avec Windows Update en cas de doute) et mettre son anti-virus à jour voire utiliser un firewall.
Suppression : On peut utiliser son anti-virus après l'avoir mis à jour ou utiliser l'utilitaire de chez Symantec (en Anglais).

PUBLI - INFO

Kaspersky Anti-Virus 7

Kaspersky Internet Security 7

RECHERCHE