LOVE LETTER - Notre OPINION sur les racines du problème (anglais). |
Brève Description |
Un nouveau Ver similaire à Mélissa, écrit en VBS. Son activation requiert la présence de Windows Scripting Host (par défaut sur Windows 98 et Windows 2000). Il écrase un grand nombre de fichiers avec une copie de lui-même (vbs, vbe, js, jse, css, wsh, sct, hta), Crée des fichiers .jpg.vbs and .jpeg.vbs à partir des fichiers jpegs et efface les fichiers originaux. Les fichiers ".mp3" et ".mp2" ne sont pas effacés, mais simplement cachés. Le ver se propage par l'intermédiaire de MAPI aux correspondants repris dans vos carnets d'adresse Outlook 98 ou Outlook 2000 et en modifiant l'initialisation du MIRC afin d'afficher une page web contenant un script infectieux. Il existe déjà quelques variantes de ce ver
|
Désinfection en Pratique |
Si vous n'avez pas d'anti-virus, suivez ces instructions. Avec F-Secure Anti-Virus 4.07, 4.08 utilisez fsupdate fsupdate site 1 * fsupdate site 2 NOTES Importantes 1 - Scannez tous les fichiers. si le virus s'est activé, il y a de fortes chances pour que des fichiers qui ne sont pas scannés habituellement soient infectés (double extension). De plus, il se pourrait que votre anti-virus ne soit pas configuré pour scanner l'extensions .vbs par défaut. 2 - Le virus ne s'ajoute pas aux fichiers cibles : il les écrase avec une copie de lui-même ou crée de nouveaux fichiers. C'est pourquoi le virus ne peut-être désinfecté, les fichiers atteints doivent être effacés. 3 - Le virus crée entre-autre ces fichiers qui sont vecteurs d'infection
Les noms de ces fichiers sont choisis de façon à vous effrayer : ils ressemblent en fait à des fichiers système, mais ils n'en sont pas. Ces fichiers doivent absolument être effacés car ils sont essentiels à la survie du virus. Modifications de la Base de Registre HKEY_CURRENT_USER\Software\Microsoft\Windows
Scripting Host\Settings\Timeout
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32",dirsystem&"\MSKernel32.vbs Le vers utilise un mécanisme de balance de charge pour télécharger aléatoirement un des quatres fichiers WIN-BUGSFIX.exe suivant en modifiant la home page de Microsoft Explorer. HKCU\Software\Microsoft\Internet
Explorer\Main\StartPage","http://www.skyinet.net/~young1s/
HKCU\Software\Microsoft\Internet Explorer\Main\Start Page","http://www.skyinet.net/~chu/ Ce troyen est ensuite exécuté par l'intermédiaire du registre. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\WIN-BUGSFIX HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page","about:blank" Enfin, le ver restaure une page blanche comme page de défaut d'exploreur. Lien vers la description de F-Secure Corporation
|
DataRescue 45 quai de la Dérivation 4020 Liège (Belgium) tel 32-4-3446510 fax 32-4-3446514 Please send us your questions or comments. |