La Nébuleuse des Sites Compilés - OSC

 Grimace

 Casser du kak

 

Il existe plusieurs variations du virus Kak. Les fichiers semblent êtres les mêmes mais les symptômes diffèrent légèrement. J'espère donc que la méthode ci-dessous pour virer le Kak 'marchera' aussi.

Pour commencer, il faut regarder du côté de votre autoexec.bat. Soit vous supprimez les deux lignes après @echo off, soit vous supprimez complètement l'autoexec.bat et vous renommez le fichier ae.kak en autoexec.bat. En fait le ae.kak est une copie de votre autoexec.bat avant l'infection. Supprimez aussi l'autoexec.ago ainsi que toute autre copie de l'autoexec où les deux lignes suspectes apparaissent (lignes suspectes = celles ne figurant pas dans la version que vous aviez pris soin de copier sur une disquette de secours lors de la première installation de votre machine !...)

Le SET TMZ=GMT0 n'est pas inquiétant, il ne fait qu'indiquer (à qui ??? ça c'est un mystère) la zone horaire dans laquelle vous vous trouvez, en l'occurrence celle de Greenwitch {un commentaires sur l'orthographe ? :-) }

Maintenant, il faut supprimer les fichiers suivants :

C:\WINDOWS\MENU DEMARRER\PROGRAMMES\DEMARRAGE\KAK.HTA
C:\WINDOWS\SYSTEM\D18BF360.HTA
C:\WINDOWS\KAK.HTM
C:\WINDOWS\KAK.REG
;;si il est présent ce qui n'est pas sûr

Videz la corbeille !!!

On arrive ensuite à la phase la plus délicate si vous n'avez pas l'habitude de vous balader dans la base de registres.

Allez dans le menu démarrer, faites exécuter et tapez regedit.
En descendant l'arborescence des clés, allez dans la rubrique suivante :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Currentversion\Run

Dans la partie droite de la fenêtre, vous devez voir une valeur appelée "cAg0u". Il faut la supprimer.

Si votre virus n'est pas le Kak d'origine mais une variation, il est possible que cette valeur soit différente. Dans ce cas, il vous faudra voir d'autres documentations mentionnées plus bas afin d'identifier celle qui paraît suspect.

Systray et Explorer sont deux choses qui se trouvent là légitimement. Vous pouvez sans doute identifier d'autres éléments d'après leur nom ou leur chemin d'accès.

Une fois que vous avez repéré la valeur cAg0u ou son remplaçant, il faut le supprimer (un clic droit dessus vous ouvre le menu contextuel).

Il ne reste plus qu'à changer votre signature dans Outlook. Supprimez l'ancienne ; et recréez une nouvelle. [Vous n'aviez pas de signature automatique ? Il vous faut tout de même vérifier et en créer une ; vide si vous voulez. Comment faire ? Envoyez-moi un courriel si besoin est ...]

Voila, vous pouvez (devez) redémarrer l'ordinateur et ne devez plus avoir de soucis.

Petites précisions quand même :
- pendant toutes ces opérations, veillez bien à ne pas avoir Outlook ouvert.
- le virus vient bien d'un mail sans attachement. Il s'agit d'un message au format html (voir page sur les courriels) qui contient un script VBScript qui n'est pas affiché mais qui s'exécute automatiquement lorsque vous ouvrez le message.

Conclusion, si à l'avenir vous ouvrez à nouveau le message qui contenait le virus, vous le chopez encore.

- Netscape est immunisé conter ce virus :-)
- Il existe un patch édité par Microsoft contre ce genre de bestioles

Pour les infos (sélectionner, copier, coller ; voir ici ou ) :
http://www.microsoft.com/technet/security/bulletin/ms99-032.asp

Pour télécharger le patch :
http://www.microsoft.com/msdownload/iebuild/scriptlet/en/125795_INTL.htm

Voir aussi :
http://lafraternite.gameloft.fr/trucs/virus.html


Outre un bon Anti-Virus, pour les utilisateurs d'Internet, un "Bouffe Troyens" n'est pas un luxe.
Enfin : il est évident qu'à ce stade il serait judicieux de faire un tour sur certains Sites mentionnés ici.


Merci à Fabrice L. ainsi qu'à SLH qui m'ont bien aidé à me débarrasser du vilain machin.

Un exemple d'un autre méchant afin de suivre les bonnes pistes pour s'en débarasser

 

Identité : WORM_BADTRANS.B
Risque : moyen
Potentiel destructif : aucun

Mais quand même ennuyeux parce qu'on a pas que ça à faire...

Pour savoir comment l'éradiquer :

http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=WORM_BADTRANS.B

[si ce lien à copier/coller ne fonctionne plus, se rendre sur le Site de Trend lié ici]

C'est en anglais et, en plus c'est sympa, il faut aller dans la base de registres {voir "explications" ci-dessus}. A vous de voir comment vous travaillez : vous passez 10 minutes en ligne ou vous copiez/collez la marche à suivre dans le Bloc-notes.

[A ce sujet, Symantec - voir ici - offre de scanner votre disque dur en ligne ; ça prend, au minimum, 20 minutes]

Le problème avec ce virus c'est qu'il s'exécute automatiquement sans qu'il y ait besoin d'ouvrir le fichier joint (comme Kak).
Le message reçu n'a pas d'objet, il faudrait le supprimer avant qu'il ne s'exécute ... [Je signale ce genre de mail ici]

Il se propage au hasard dans les adresses de mails du logiciel Internet Explorer (particulièrement Outlook). 'Impossible' de savoir qui vous l'a envoyé.

Merci à Alain A. & Mathieu S., sources de ce "topo".

Des patchs pour la protection du "fragile" logiciel Outlook express sur le site de microsoft sont aussi recommandés :
http://www.microsoft.com/windows/ie/downloads/recommended/ie55sp2/default.asp


Des alertes actuelles (janvier 2002)


Le virus " Magister".
Il resterait latent pendant 48 h à un mois, selon les sources retrouvées, puis il pille votre carnet d'e-mail, envoie des messages incohérents avec des objets tout aussi incohérents et le tout avec votre signature.
L'élément polluant : la pièce jointe, un point BAT (ces charmants petits utilitaires que nous faisions au temps béni de DOS). Vous pouvez l'éradiquer avec NORTON 5 et sa mise à jour de janvier 2002 (ceci n'est pas une pub).
Conseil connexe : laissez en permanence les antivrus sur votre ordinateur même si ce dernier rame un peu plus.

Merci à Gérard & Michelle B., sources de ce "tuyau".

Le premier virus Flash est né. (Pas de danger que vous l'attrapiez en visitant la NSC qui 'renie' les effets "Flash")...
Le premier virus s'attaquant au format Flash (de Macromedia) vient d'être découvert par l'éditeur d'antivirus Sophos.
Baptisé SWF/LFM-926, le virus ne semble pas bien dangereux. L'agent infectieux ne s'attaquerait qu'aux fichiers au format .SWF installés sur le disque dur des utilisateurs. Ce virus vise les webmasters qui exploitent Shockwave pour animer leur site". Les utilisateurs visitant un site web infecté seront à leur tour victimes s'ils téléchargent un fichier Flash et l'ouvrent localement. Les bannières publicitaires, nombreuses à exploiter le format Flash, sont les plus susceptibles d'être touchées par le virus.



(mai 2002)

Ce n'est pas le premier exemple du genre ; celui d'une fausse alerte. Autant en parler. Ca commence par un courriel de ce genre (entre [], mes commentaires) :

"On a reçu un avertissement d'un virus qui n'est pas détecté par les programmes Mcafee et Norton Anitvirus. Il est transmit par le carnet d'adresses automatiquement, si vous envoyer les e-mails ou non.
[PROPAGANDE DE CONCURRENTS ?]
Il faut donc aller à:
1. démarrer et puis rechercher
2. Fichiers ou dossiers, puis inscrivez le nom: jdbgmgr.exe
3. dans la case Chercher, il faut choisir C:\
4. démarrer la recherche
5. le logo du virus c'est un petit ours [EXACT; mignon, NON ?!]
6. marquer (sélectionner) et supprimer
7. Vider la corbeille
[DEMARCHE BONNE MAIS BIEN TROP SIMPLE CONTRE UN VERITABLE VIRUS, VOIR KAK...]

Si vous avez trouvé ce virus, il faudrait avertir TOUTES les personnes dans votre carnet d'adresses pour qu'ils recherchent le virus aussi".
[LE BUT CLASSIQUE de ces alertes : ENCOMBRER LE MAIL ET LE WEB]

L'avis de Hoaxbuster : Le faux virus "jdbgmgr.exe"

En circulation depuis Avril 2002 : Inutile de vous lancer à la recherche du fichier caché et de l'éradiquer sans pitié puisqu'il
s'agit d'un utilitaire Windows permettant de débuguer des programmes rédigés en Java.



(septembre 2002)

Un virus nommé Chet exploite le drame du 11 septembre 2001. Un courriel envoyé par main@world.com, titré "All people !!" avec une pièce jointe "11september.exe". Le type même d'e-mail que n'ouvrent pas les signataires de ces pages, comme il est précisé ici ; Chet, à deux lettres près (S et i), porte bien son nom.



(octobre 2002)

> Date: Thu, 3 Oct 2002 18:21:35 +0200 (added by postmaster@wanadoo.fr)
Ce Postmaster figurent étrangement dans une majorité de Spam et de tentatives d'infection que nous recevons.
Aucun de nous (Gilliath, Gérald, Olivier) n'avons de compte à Wanadoo. Ce "mec" est-il sans cesse mentionné en vertu du monopole de France Télécom ?

> From: Olivier Schmidt-Chevalier
> <olivier.sc@libertysurf.fr>
> Reply-To: Olivier Schmidt-Chevalier
> <olivier.sc@libertysurf.fr>
> Subject: Re: Je fait du piano
La personne existe bel et bien ; mais tout comme pour Wanadoo, elle n'a aucun compte à Libertysurf (devenu Tiscali). Par contre : le titre du courriel est réel ; et ça ...

Analyse service courrier Yahoo :

Et/eh oui : les courriers suspects - trouvés par IMP -, sont de suite détruits sans être lus ; ou, envoyés dans une autre boîte aux lettres pour vérification. Navré, c.....d !

Cette pièce jointe contient un virus susceptible d'infecter votre ordinateur. Elle ne peut pas être nettoyée. Nous vous recommandons expressément de ne pas la télécharger.

Fichier : Carnet Type : audio/x-midi
Résultat : Virus W32.Bugbear@mm trouvé.
Le Fichier n'a PAS été nettoyé.

Nous vous mettons les détails car TREND parle d'un autre fichier attaché pour ce même virus dont parle aussi SYMANTEC et dont vous trouverez une proposition afin de vous en débarrasser chez PENDA SECURITY.

http://www.trendmicro.fr/outbreak.htm
http://www.pandasecurity.com/

Voir aussi :
http://solutions.journaldunet.com/0210/021004_bugbear.shtml



(janvier 2003)

Kamilla et Stéphane nous permettent de nous remettre en mémoire une alerte déjà mentionnée à la page "courrier".

> Je viens de recevoir un mail de l'expéditeur (bidon) big@boss.com
> ce mail contient un fichier joint (untitled1.pif de 65ko)
> c'est un virus, donc détruisez-le direct.
>
> En règle général, détruisez tous les messages dont vous ne connaissez pas les expéditeurs.

Combien de fois faudra-t-il le répéter ? ;-)

 On aura tout vu : un virus en Logo !... en vo

 "Free online scanner" qui prend bien 45 minutes si vous scannez (recommandé) tout votre ordinateur. Efficace ! Voir aussi.

 Bouton back

 RETOUR

 E-Mail gold

  OSC