 GENERALITES
Les messages HTML sont dangereux à cause des programmes exécutables qu'ils comportent (scripts, applets, Active X, Visual Basic...). Ces programmes s'activent sans intervention de l'utilisateur. Si les navigateurs sont dotés de sécurités, les logiciels de messagerie ne permettent que la desactivation de l'affichage HTML.
Une bombe logique est un virus programmé pour travailler à retardement ( par ex.après avoir quitté un employeur) |
Deja News search : virus
Alerte aux nouveaux Virus - Atout Micro
AVP Virus Encyclopedia
CERT Advisory CA-99-04-Melissa-Macro-Virus
CIAC - Internet Hoaxes
TopVirus chronique des virus et de la protection
Actualités virus
Virus, vers, Chevaux de Troie |
SECURITE
Certains virus se propagent à votre insu par votre carnet d'adresses. Pour vérifier l'intégrité de ce carnet , on peut créer un "leurre de contact", c'est à dire une adresse totalement fantaisiste (du genre "jehaislesvirus@coucou.com").Si un virus est entré dans votre messagerie, il va envoyer un message à cette adresse. Vous recevez aussitôt un "Mail Delivery System" vous prévenant que le message n' a pas pu joindre votre correspondant fantaisiste. Ceci vous signale qu'un virus vous a attaqué. Faites fonctionner alors votre logiciel antivirus. Ce système vous évite d'avoir à procéder au hasard à la procédure de scan qui est assez longue.TEGAM Internationalwww.viguard.comService Sécurité +Février 2004. MYDOOM.F, variante destructrice de MYDOOMMYDOOM.F est une variante destructrice de MYDOOM qui appartient à la famille des vers et est arrêté comme d'habitude par le pack VIGUARD sans mise à jour de signature. MYDOOM.F est un programme malveillant dangereux : il est destructeur, il installe une porte dérobée ( Backdoor ) et peut lancer des attaques en déni de service contre des sites web ciblés par l'intermédiaire des machines infectées.MYDOOM.F arrive par email avec pièce jointe contaminée. Le Service Sécurité + vous recommande de ne pas céder à la tentation de double-cliquer sur des pièces jointes, même si l'email vous paraît provenir d'un interlocuteur que vous connaissez. La plupart des vers actuels emploient cette technique pour vous tromper, et il en va de même pour l'adresse email de l'expéditeur de MYDOOM.F qui est une adresse usurpée. Le sujet de l'email infecté envoyé par MYDOOM.F peut être vide ( sans sujet ) ou variable, par exemple :- Accident- Announcement- Approved- Attention- automatic notification- automatic responder- bug- Confirmation- Confirmation Required- Current Status- Details- Expired account- fake- For you- For your information- forget- hello- hi- hi, it's me- Important- Information- Love is- Love is...- news- Notification- please read- please reply- Re: Approved- Re: Details- Re: Thank you- Read it immediately- Read it immediately!- read now!- Read this- Read this message- Readme- recent news- Registration confirmation- Returned Mail- Schedule- Something for you- stolen- Thank you- Thank You very very much- Undeliverable message- unknown- Wanted- Warning- You have 1 day left- You use illegal File Sharing...- Your account has expired- Your account is about to be expired- Your credit card- Your IP was logged- Your order is being processed- Your order was registered- Your request is being processed- Your request was registeredLa pièce jointe infectée se présente soit sous forme de fichier exécutable compressé au format .zip, soit avec extension .exe, .cmd, .com, .pif, .scr.Attention : l'icône du fichier exécutable infecté peut être déguisée en icône de Bloc-Note.Le nom de la pièce jointe est variable, et peut être soit des caractères aléatoires, soit :about approved attachment body check creditcard data details disc doc document file friend image information joke jokes list mail mail2 message misc money msg note notes object part1 part2 part3 part4 paypal photo post posting product readme resume story stuff test text textfile website your_documentLe corps du message de MYDOOM .F peut être :Check the attached document. Details are in the attached document. You need Microsoft Office to open it.Everything ok? Greetings Here is the document. Here it is I have your password :) I wait for your reply. I'm waiting Information about you Is that from you? Is that yours? Kill the writer of this document! OK Okay Please see the attached file for details Please, reply Read the details. Reply See the attached file for details See you Something about you Take it The document was sent in compressed format. We have received this document from your e-mail. You are a bad writer You are badS'il est exécuté, le ver MYDOOM.F crée un fichier comportant le nom de la machine infectée qui se charge en mémoire.Il peut faire apparaître un faux message d'erreur du type :File is corruptedFile cannot be openedUnable to open specified fileOu bien créer dans le répertoire Temp un fichier qui contient des données aléatoires et l'ouvrir avec Notepad.exe.Porte dérobée ( Backdoor ) :MYDOOM.F crée dans le répertoire Système un fichier exécutable au nom aléatoire, et un fichier .dll au nom aléatoire qui est la composante Backdoor du ver. Cette porte dérobée se comporte comme un serveur proxy qui ouvre le port 1080 sur la machine infectée et se met en écoute sur ce port. La porte dérobée a également la possibilité de télécharger et d'exécuter n'importe quel autre code malveillant sur la machine contaminée.La backdoor est programmée pour terminer les processus contenant les séquences suivantes :- avp- avp32- intrena- mcafe- navapw- navw3- norton- reged- taskmg- taskmoMécanismes de survie :MYDOOM.F recrée des archives de lui-même dans le %Windir%.S'ajoute au démarrage de la machine :Il ajoute des valeurs à la base de registre pour s'ajouter au démarrage de la machine infectée sous le même nom de fichier que celui créé aléatoirement à l'exécution de la pièce jointe infectée.Attaque en déni de service :Il est programmé pour lancer une attaque en déni de service entre le 17 et le 22 de chaque mois contre les sites web de Microsoft et de la RIAA ( organisation qui gère les droits des éditeurs de musique et de films ).Destruction de documents et d'images :MYDOOM.F recherche, dans le but de les détruire, les fichiers dont l'extension est en :- avi- bmp- doc- jpg- mdb- sav- xlsRécupération d'adresses emails :Il utilise son propre moteur pour s'auto-envoyer aux adresses email récupérées, et il joint l'un des fichiers qu'il a archivés lors de son installation.Adresses cibles : Il recherche les adresses emails contenues dans les fichiers temporaires Internet de la machine infectée, dans son Carnet d'adresses Windows, ainsi que dans tous les disques parmi les fichiers ayant pour extension : adb aspemlwabdbxhtmmbxmhtmmfmsgnchodsoftphpplrtfshttbbtxtuinvbsDans sa collecte d'adresses email, MYDOOM.F épargne les adresses email liées à certains noms de domaines, tels que : - arin. - berkeley - bsd - fido - fsf. - gnu - google - iana - ietf - irix - kernel - linux - math - mit.e - mozilla - rfc-ed - ripe. - sendmail - sgi.com - slashdot - solaris - sourcef - sun.com - tanford.e - unix - usenet- utgers.ed Lorsque le Pack VIGUARD alerte sur " module ajouté au démarrage ", vous devez cliquer sur le bouton " retirer du démarrage ", puis redémarrer l'ordinateur afin d'éliminer toute trace du ver en mémoire. - Alerte " Serveur Internet non certifié " , si l'option est activée. Si vous n'avez pas de Firewall Réseau, nous vous recommandons d'activer l'option d'alerte de NetTrap sur : " Serveur Internet non certifié ". Vous disposez de cette option dans version Réseaux 2003, Version Professionnelle et version Personnelle. Pour savoir comment l'activer, vous pouvez vous reporter à notre fiche explicative au format .pdf :http://www.viguard.com/download/manuel/nettrap_serveurinternet.pdfContacts :Pour toute question de support technique de ViGUARD, contactez : support@tegam.frPour demander la modification ou la suppression de votre adresse email, contactez : privacy@tegam.frPour tout commentaire ou suggestion relatifs à l'information contenue dans ce message, contactez : info@tegam.fr |
SITES ET PRODUITS ANTI-VIRUS
CLUSIF - Infovirus
Anti-Virus Web Sites
http://www.virusbtn.com/
http://fr.wikipedia.org/wiki/Antivirus
http://www.pcflank.com
Command
COMSEC Solutions
F-Prot
IBM Antivirus
McAfee
Network Associate - Dr Salomon
Symantec , avec une encyclopédie des virus Symantec (Norton) prévient également sur les blagues (hoax)
Encyclopédie antivirus de Computer Associates
Antivirus Toolkit Pro
Command Antivirus software
F-secure Antivirus
VirusScan
PC Cillin
DrWeb
Viguard
ICatch |
