From: C y b e r T e c h @ L i s t s . E x M a c h i n a . n e t <http://www.cybercafe21.net> & <http://www.cybercafe21.tv> Bonjour a tous, Je me suis apercu ce 22 juillet en debut de soiree que mon systeme repandait a mon insu des virus sur le reseau. Il s'agit en fait d'un 'worm', un ver, qui porte le doux nom de: W32.Sircam.Worm@mm, qui ne presente apparemment aucun danger pour le systeme mais qui s'installe sur le disque dur et utilise les repertoires d'adresses aussi bien d'Outlook que d'Eudora (!!!) pour se reproduire et transmettre des messages avec fichier attache. Ce 'worm' est identifie par Norton Antivirus, mais attention, A CONDITION D'AVOIR UNE MISE A JOUR TRES RECENTE. La mise a jour de la semaine derniere ne le detecte pas. Il est aussi important de savoir que Norton s'avere incapable d'eradiquer ce virus: bien qu'il annonce l'avoir isole ou mis en quarantaine, il n'en n'est rien et il continue d'agir. Son mode de fonctionnement est original. Le virus lui-meme, un petit programme d'environ 5k, qui peut porter differents noms mais avec l'extension .EXE, s'installe dans un repertoire invisible qu'il cree dans C:\recycled (la corbeille), ou il est proprement indetectable au moyen de l'explorateur Windows, meme si l'option "afficher tous les fichiers" est activee. Il est donc inutile de faire une recherche sur le nom. Fonctionnant en tache de fond, il recueille divers fichiers .DOC ou .XLS sur l'ordinateur (dans des repertoires tres varies et meme sur plusieurs partitions differentes) et les envoie a divers correspondants dont les adresses se trouvent dans les repertoires d'adresses Outlook ou Eudora en attachment d'un message reprenant le texte suivant: ------------------------------------------------- Hi! How are you? I send you this file in order to have your advice See you later. Thanks ------------------------------------------------- L'attachment porte le nom du fichier original, auquel a ete ajoutee l'extension .BAT ou .PIF. Exemples recus: Magic_Nomad.dic.bat L_etage_Fregat_retrouve.doc.bat Inscriptions_Spinnet_Site.xls.bat Evrard2.doc.bat Coton_huile.doc.bat Mon erreur a ete de cliquer sur un de ces fichiers apres l'avoir teste avec Norton Antivirus, dont la mise a jour datait d'une semaine, qui ne l'a donc pas detecte. Il s'agissait d'un fichier Word (extension .DOC), qui s'est effectivement ouvert sans que rien ne me laisse penser que j'avais ainsi mis un virus en activite. C'etait avant-hier... Et aujourd'hui, j'ai recu DES DIZAINES de messages automatiques en provenance de providers (dont Skynet et Wanadoo) m'avertissant qu'un de mes messages avait ete bloque car il contenait un fichier infecte. Detecter le virus ----------------- Imperativement: avoir un antivirus A JOUR. Donc, a vos chargements. Avec Norton Antivirus ca marche, pour les autres je ne sais pas... Ouvrir la base de registre de Windows (regedit.exe). Rechercher l'entree: HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command On y trouve la donnee: "C:\recycled\nom-du-virus.exe" "%1" %x" (evidemment, tout fichier active depuis la corbeille est hautement suspect !!!) il suffit d'effacer cette commande pour inactiver le virus. Pour *effacer* le virus, inutile d'essayer sous Windows. Ouvrir une session Dos, et se rendre a: C:\windows\recycled\ La, apparait non seulement le virus lui-meme sous forme d'un executable .EXE, mais aussi une copie de tous les fichiers .DOC ou .XLS infectes qui ont ete transmis a travers le reseau Internet. TOUT FICHIER APPARAISSANT SOUS DOS DANS CE REPERTOIRE ET QUI RESTE INVISIBLE SOUS L'EXPLORATEUR DE WINDOWS FAIT PARTIE DU VIRUS OU EST INFECTE. Donc, a effacer sans pitie. Voila, j'espere avoir ete utile en decrivant cette bebete et le moyen de s'en debarrasser... Amities, Jean Des Cadeaux, des avantages et des offres qui vous interessent ? http://www.justforyou.be... what you want is what you get ! - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - CCTK vous est offert par Emakina <http://www.emakina.com> Pour vous desabonner <mailto:[EMAIL PROTECTED]>
