From: C y b e r T e c h @ L i s t s . E x M a c h i n a . n e t
<http://www.cybercafe21.net> & <http://www.cybercafe21.tv>
Oui ben ca deviens p�nible ces worms... J'en recois 3 par jour... Ca suffit
maintenant hein Jean Etienne... Les meilleures sont les plus courtes...
Plus s�rieusement... Comment empecher la propagation de ce genre de virus
au niveau sur serveur mail ?
Pierre
At 23:33 22/07/2001 +0200, you wrote:
>Bonjour a tous,
>
>Je me suis apercu ce 22 juillet en debut de soiree que mon systeme
>repandait a mon insu des virus sur le reseau.
>
>Il s'agit en fait d'un 'worm', un ver, qui porte le doux nom de:
>W32.Sircam.Worm@mm, qui ne presente apparemment aucun danger pour le
>systeme mais qui s'installe sur le disque dur et utilise les repertoires
>d'adresses aussi bien d'Outlook que d'Eudora (!!!) pour se reproduire et
>transmettre des messages avec fichier attache.
>
>Ce 'worm' est identifie par Norton Antivirus, mais attention, A CONDITION
>D'AVOIR UNE MISE A JOUR TRES RECENTE. La mise a jour de la semaine
>derniere ne le detecte pas. Il est aussi important de savoir que Norton
>s'avere incapable d'eradiquer ce virus: bien qu'il annonce l'avoir isole
>ou mis en quarantaine, il n'en n'est rien et il continue d'agir.
>
>Son mode de fonctionnement est original. Le virus lui-meme, un petit
>programme d'environ 5k, qui peut porter differents noms mais avec
>l'extension .EXE, s'installe dans un repertoire invisible qu'il cree dans
>C:\recycled (la corbeille), ou il est proprement indetectable au moyen de
>l'explorateur Windows, meme si l'option "afficher tous les fichiers" est
>activee. Il est donc inutile de faire une recherche sur le nom.
>
>Fonctionnant en tache de fond, il recueille divers fichiers .DOC ou .XLS
>sur l'ordinateur (dans des repertoires tres varies et meme sur plusieurs
>partitions differentes) et les envoie a divers correspondants dont les
>adresses se trouvent dans les repertoires d'adresses Outlook ou Eudora en
>attachment d'un message reprenant le texte suivant:
>
>-------------------------------------------------
>Hi! How are you?
>I send you this file in order to have your advice
>See you later. Thanks
>-------------------------------------------------
>
>L'attachment porte le nom du fichier original, auquel a ete ajoutee
>l'extension .BAT ou .PIF. Exemples recus:
>
>Magic_Nomad.dic.bat
>L_etage_Fregat_retrouve.doc.bat
>Inscriptions_Spinnet_Site.xls.bat
>Evrard2.doc.bat
>Coton_huile.doc.bat
>
>Mon erreur a ete de cliquer sur un de ces fichiers apres l'avoir teste
>avec Norton Antivirus, dont la mise a jour datait d'une semaine, qui ne
>l'a donc pas detecte. Il s'agissait d'un fichier Word (extension .DOC),
>qui s'est effectivement ouvert sans que rien ne me laisse penser que
>j'avais ainsi mis un virus en activite. C'etait avant-hier...
>
>Et aujourd'hui, j'ai recu DES DIZAINES de messages automatiques en
>provenance de providers (dont Skynet et Wanadoo) m'avertissant qu'un de
>mes messages avait ete bloque car il contenait un fichier infecte.
>
>Detecter le virus
>-----------------
>
>Imperativement: avoir un antivirus A JOUR. Donc, a vos chargements. Avec
>Norton Antivirus ca marche, pour les autres je ne sais pas...
>
>Ouvrir la base de registre de Windows (regedit.exe). Rechercher l'entree:
>HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command
>
>On y trouve la donnee:
>"C:\recycled\nom-du-virus.exe" "%1" %x"
>(evidemment, tout fichier active depuis la corbeille est hautement suspect
>!!!)
>
>il suffit d'effacer cette commande pour inactiver le virus.
>
>Pour *effacer* le virus, inutile d'essayer sous Windows. Ouvrir une
>session Dos, et se rendre a:
>
>C:\windows\recycled\
>La, apparait non seulement le virus lui-meme sous forme d'un executable
>.EXE, mais aussi une copie de tous les fichiers .DOC ou .XLS infectes qui
>ont ete transmis a travers le reseau Internet. TOUT FICHIER APPARAISSANT
>SOUS DOS DANS CE REPERTOIRE ET QUI RESTE INVISIBLE SOUS L'EXPLORATEUR DE
>WINDOWS FAIT PARTIE DU VIRUS OU EST INFECTE. Donc, a effacer sans pitie.
>
>Voila, j'espere avoir ete utile en decrivant cette bebete et le moyen de
>s'en debarrasser...
>
>Amities,
>Jean
>
>
>http://www.Yezzz.com. Votre salle de vente aux encheres virtuelle. Et la
>meilleure adresse pour acheter ou vendre. Cliquez sur la rubrique de votre
>choix et lancez votre offre.
>- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
>La liste CC21 vous est offerte par Emakina <http://www.emakina.com/>
>Pour vous desabonner rapido <mailto:[EMAIL PROTECTED]>
Des Cadeaux, des avantages et des offres qui vous interessent ?
http://www.justforyou.be... what you want is what you get !
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
CCTK vous est offert par Emakina <http://www.emakina.com>
Pour vous desabonner <mailto:[EMAIL PROTECTED]>
