La Nébuleuse des
Sites Compilés - OSC  |
La Nébuleuse des
Sites Compilés - OSC |
Il existe plusieurs variations du virus Kak. Les fichiers semblent êtres les mêmes mais les symptômes diffèrent légèrement. J'espère donc que la méthode ci-dessous pour virer le Kak 'marchera' aussi.
Pour commencer, il faut regarder du côté de votre autoexec.bat. Soit vous supprimez les deux lignes après @echo off, soit vous supprimez complètement l'autoexec.bat et vous renommez le fichier ae.kak en autoexec.bat. En fait le ae.kak est une copie de votre autoexec.bat avant l'infection. Supprimez aussi l'autoexec.ago ainsi que toute autre copie de l'autoexec où les deux lignes suspectes apparaissent (lignes suspectes = celles ne figurant pas dans la version que vous aviez pris soin de copier sur une disquette de secours lors de la première installation de votre machine !...)
Le SET TMZ=GMT0 n'est pas inquiétant, il ne fait qu'indiquer (à qui ??? ça c'est un mystère) la zone horaire dans laquelle vous vous trouvez, en l'occurrence celle de Greenwitch {un commentaires sur l'orthographe ? :-) }
Maintenant, il faut supprimer les fichiers suivants :
C:\WINDOWS\MENU DEMARRER\PROGRAMMES\DEMARRAGE\KAK.HTA
C:\WINDOWS\SYSTEM\D18BF360.HTA
C:\WINDOWS\KAK.HTM
C:\WINDOWS\KAK.REG ;;si il est présent ce qui n'est
pas sûr
Videz la corbeille !!!
On arrive ensuite à la phase la plus délicate si vous n'avez pas l'habitude de vous balader dans la base de registres.
Allez dans le menu démarrer, faites exécuter
et tapez regedit.
En descendant l'arborescence des clés, allez dans la rubrique suivante
:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Currentversion\Run
Dans la partie droite de la fenêtre, vous devez voir une valeur appelée
"cAg0u". Il faut la supprimer.
Si votre virus n'est pas le Kak d'origine mais une variation, il est
possible que cette valeur soit différente. Dans ce cas, il vous faudra
voir d'autres documentations mentionnées plus bas afin d'identifier
celle qui paraît suspect.
Systray et Explorer sont deux choses qui se trouvent là
légitimement. Vous pouvez sans doute identifier d'autres éléments
d'après leur nom ou leur chemin d'accès.
Une fois que vous avez repéré la valeur cAg0u ou son remplaçant, il faut le supprimer (un clic droit dessus vous ouvre le menu contextuel).
Il ne reste plus qu'à changer votre signature dans Outlook. Supprimez l'ancienne ; et recréez une nouvelle. [Vous n'aviez pas de signature automatique ? Il vous faut tout de même vérifier et en créer une ; vide si vous voulez. Comment faire ? Envoyez-moi un courriel si besoin est ...]
Voila, vous pouvez (devez) redémarrer l'ordinateur et ne devez plus avoir de soucis.
Petites précisions quand même :
- pendant toutes ces opérations, veillez bien à ne pas avoir
Outlook ouvert.
- le virus vient bien d'un mail sans attachement. Il s'agit d'un message
au format html (voir page sur les courriels) qui contient un script VBScript qui n'est
pas affiché mais qui s'exécute automatiquement lorsque vous
ouvrez le message.
Conclusion, si à l'avenir vous ouvrez à nouveau le message
qui contenait le virus, vous le chopez encore.
- Netscape est immunisé conter ce virus :-)
- Il existe un patch édité par Microsoft contre ce genre de
bestioles
Pour les infos (sélectionner, copier,
coller ; voir ici ou là) :
http://www.microsoft.com/technet/security/bulletin/ms99-032.asp
Pour télécharger le patch :
http://www.microsoft.com/msdownload/iebuild/scriptlet/en/125795_INTL.htm
Voir aussi :
http://lafraternite.gameloft.fr/trucs/virus.html
Identité : WORM_BADTRANS.B
Risque : moyen
Potentiel destructif : aucun
Mais quand même ennuyeux parce qu'on a pas que ça à faire...
Pour savoir comment l'éradiquer :
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=WORM_BADTRANS.B
[si ce lien à copier/coller ne fonctionne plus, se rendre sur
le Site de Trend lié ici]
C'est en anglais et, en plus c'est sympa, il faut aller dans la base de
registres {voir "explications" ci-dessus}. A vous de voir comment
vous travaillez : vous passez 10 minutes en ligne ou vous copiez/collez
la marche à suivre dans le Bloc-notes.
[A ce sujet, Symantec - voir
ici - offre de scanner votre disque dur en ligne ; ça prend,
au minimum, 20 minutes]
Le problème avec ce virus c'est qu'il s'exécute automatiquement
sans qu'il y ait besoin d'ouvrir le fichier joint (comme Kak).
Le message reçu n'a pas d'objet, il faudrait le supprimer avant qu'il
ne s'exécute ... [Je signale ce genre de mail ici]
Il se propage au hasard dans les adresses de mails du logiciel Internet Explorer (particulièrement Outlook). 'Impossible' de savoir qui vous l'a envoyé.
Merci à Alain A. & Mathieu S., sources de ce "topo".
Des patchs pour la protection du "fragile" logiciel Outlook
express sur le site de microsoft sont aussi recommandés :
http://www.microsoft.com/windows/ie/downloads/recommended/ie55sp2/default.asp
Le virus " Magister". Il resterait latent pendant 48
h à un mois, selon les sources retrouvées, puis il pille votre
carnet d'e-mail, envoie des messages incohérents avec des objets
tout aussi incohérents et le tout avec votre signature.
L'élément polluant : la pièce jointe, un point BAT
(ces charmants petits utilitaires que nous faisions
au temps béni de DOS). Vous pouvez l'éradiquer
avec NORTON 5 et sa mise à jour de janvier 2002 (ceci
n'est pas une pub).
Conseil connexe : laissez en permanence les antivrus sur votre ordinateur
même si ce dernier rame un peu plus.
Merci à Gérard & Michelle B., sources de ce "tuyau".
Le premier virus Flash est né. (Pas
de danger que vous l'attrapiez en visitant la NSC qui 'renie' les effets
"Flash")...
Le premier virus s'attaquant au format Flash (de Macromedia) vient d'être
découvert par l'éditeur d'antivirus Sophos.
Baptisé SWF/LFM-926, le virus ne semble pas bien dangereux. L'agent
infectieux ne s'attaquerait qu'aux fichiers au format .SWF installés
sur le disque dur des utilisateurs. Ce virus vise les webmasters qui exploitent
Shockwave pour animer leur site". Les utilisateurs visitant un site
web infecté seront à leur tour victimes s'ils téléchargent
un fichier Flash et l'ouvrent localement. Les bannières publicitaires,
nombreuses à exploiter le format Flash, sont les plus susceptibles
d'être touchées par le virus.
Ce n'est pas le premier exemple du genre ; celui d'une fausse alerte. Autant en parler. Ca commence par un courriel de ce genre (entre [], mes commentaires) :
"On a reçu un avertissement d'un virus qui n'est pas détecté
par les programmes Mcafee et Norton Anitvirus. Il est transmit par le carnet
d'adresses automatiquement, si vous envoyer les e-mails ou non.
[PROPAGANDE DE CONCURRENTS ?]
Il faut donc aller à:
1. démarrer et puis rechercher
2. Fichiers ou dossiers, puis inscrivez le nom: jdbgmgr.exe
3. dans la case Chercher, il faut choisir C:\
4. démarrer la recherche
5. le logo du virus c'est un petit ours [EXACT; mignon,
NON ?!]
6. marquer (sélectionner) et supprimer
7. Vider la corbeille
[DEMARCHE BONNE MAIS BIEN TROP SIMPLE CONTRE UN VERITABLE
VIRUS, VOIR KAK...]
Si vous avez trouvé ce virus, il faudrait avertir TOUTES les personnes
dans votre carnet d'adresses pour qu'ils recherchent le virus aussi".
[LE BUT CLASSIQUE de ces alertes : ENCOMBRER LE MAIL
ET LE WEB]
L'avis de Hoaxbuster
: Le faux virus "jdbgmgr.exe"
En circulation depuis Avril 2002 : Inutile de vous lancer à la recherche
du fichier caché et de l'éradiquer sans pitié puisqu'il
s'agit d'un utilitaire Windows permettant de débuguer des programmes
rédigés en Java.
Un virus nommé Chet exploite le drame du 11
septembre 2001. Un courriel envoyé par main@world.com, titré
"All people !!" avec une pièce jointe "11september.exe".
Le type même d'e-mail que n'ouvrent pas les signataires de ces pages,
comme il est précisé ici ; Chet,
à deux lettres près (S et i), porte bien son nom.
> Date: Thu, 3 Oct 2002 18:21:35 +0200 (added by postmaster@wanadoo.fr)
Ce Postmaster figurent étrangement dans une
majorité de Spam et de tentatives d'infection que nous recevons.
Aucun de nous (Gilliath, Gérald, Olivier) n'avons de compte à
Wanadoo. Ce "mec" est-il sans cesse mentionné en vertu
du monopole de France Télécom ?
> From: Olivier Schmidt-Chevalier
> <olivier.sc@libertysurf.fr>
> Reply-To: Olivier Schmidt-Chevalier
> <olivier.sc@libertysurf.fr>
> Subject: Re: Je fait du piano
La personne existe bel et bien ; mais tout comme pour
Wanadoo, elle n'a aucun compte à Libertysurf (devenu Tiscali). Par
contre : le titre du courriel est réel ; et ça ...
Analyse service courrier Yahoo :
Et/eh oui : les courriers suspects - trouvés
par IMP -, sont
de suite détruits sans être lus ; ou, envoyés dans une
autre boîte aux lettres pour vérification. Navré, c.....d
!
Cette pièce jointe contient un virus
susceptible d'infecter votre ordinateur. Elle ne peut pas être nettoyée.
Nous vous recommandons expressément de ne pas la télécharger.
Fichier : Carnet Type : audio/x-midi
Résultat : Virus W32.Bugbear@mm trouvé.
Le Fichier n'a PAS été nettoyé.
Nous vous mettons les détails car TREND parle d'un autre fichier attaché pour ce même virus dont parle aussi SYMANTEC et dont vous trouverez une proposition afin de vous en débarrasser chez PENDA SECURITY.
http://www.trendmicro.fr/outbreak.htm
http://www.pandasecurity.com/
Voir aussi :
http://solutions.journaldunet.com/0210/021004_bugbear.shtml
Combien de fois faudra-t-il le répéter ? ;-)
 |
"Free online scanner" qui prend bien 45 minutes si vous scannez (recommandé) tout votre ordinateur. Efficace ! Voir aussi. |
 |
 |