Navigation
L'actualité informatique et multimédia
Les antidotes contre le virus Nimda !!!
Panda Software, Norton Antivirus et McAfee sont en possession de ...
Panda Software, Norton Antivirus et McAfee sont en possession de ...
Panda Software, Norton Antivirus et McAfee sont en possession de l'antidote contre Nimda, un dangereux virus de mass-mailing e-mail.
Ce ver se déclenche automatiquement si la fenêtre de prévisualisation des messages d'Outlook est activée et l'éditeur d'antivirus recommande aux usagers de mettre à jour leur antivirus avant d'ouvrir les messageries Outlook.
A cause de la vitesse accrue de propagation du ver W32/Nimda.A@mm (alias Nimda), Les éditeurs d'antivirus viennent de sortir l'antidote qui va permettre aux usagers de mettre à jour leurs programmes antivirus. Une fois le logiciel d'antivirus mis à jour, les utilisateurs seront à l'abri de cette nouvelle menace.
W32/Nimda.A@mm (alias Nimda) est un dangereux ver de mass-mailing qui se déclenche automatiquement lorsque le message qu'il contient est visualisé dans la fenêtre de prévisualisation. Il se répand par e-mail en utilisant une vulnérabilité dans Internet Explorer 5 et dans les messageries Outlook et Outlook Express. Cette vulnérabilité a été découverte par Juan Carlos Garcia Cuartango.
Cette vulnérabilité a deux caractéristiques majeures: d'une part, elle utilise le code HTML, qui génère un cadre. D'autre part, elle utilise un attachement codé en Base64, marqué comme audio/x-wav. Les deux actions parviennent à tromper la composante d'Internet Explorer qui offre des services de navigation aux clients des messageries de Microsoft. En fait, le ver parvient à passer au travers d'un fichier audio qui s'exécute automatiquement lorsque le message est ouvert.
Voies d'infection
L'infection se produira lorsque l'usager ouvrira son message ou le visualisera dans la fenêtre de prévisualisation. La raison réside dans le fait que le client messagerie admet a priori que l'attachement est un fichier audio qui doit se déclencher automatiquement. En plus, il s'auto-envoie par e-mail en établissant des connections à Internet à travers les commandes SMTP. Pour obtenir les adresses e-mail de la victime, il se connecte au système d'e-mail à travers SimpleMAPI puis parcourt les messages en quête d'adresses électroniques.
En outre, il est intéressant de mentionner que le corps du message contient le texte suivant, qui renvoie à sa prétendue origine: "Concept Virus(CV) V.5, Copyright(C)2001 R.P.China".
Une fois que l'utilsateur reçoit le message et se trouve infecté, si le système installé est Windows 9x, le virus se copie lui-même dans le dossier système de Windows avec le nom et les attributs cachés suivants : LOAD.EXE. En outre, le ver modifie le fichier SYSTEM.INI en ajoutant la ligne indiquée ci-dessous. De la sorte, le virus s'assure de son exécution à chaque fois que le système est démarré: Shell=explorer.exe load.exe-dontrunold.
Ensuite, il copie un fichier avec des attributs cachés appelé riched20.dll dans le répertoire WindowsSystem. Ceci permet au virus de se lancer à chaque fois qu'une application utilisant DLL (comme par exemple Wordpad) est exécutée.
D'autre part, si le système installé est Windows NT ou Windows 2000, le ver crée le fichier LOAD.EXE dans le répertoire WinntSystem32. Ensuite, il crée un utilisateur appelé guest puis l'inclut dans le groupe des administrateurs locaux. Après quoi, il se connecte en tant que l'utilisateur défini ci-dessus et partage le volume C: comme C$.
En plus, ce ver utilise une autre vulnérabilité du IIS (Internet Information Server) pour altérer le contenu des pages listées ci-dessous de telle manière que si un autre utilisateur essaye de les voir, le code altéré par le virus ouvrira un autre fichier appelé readme.eml (un format utilisé par les messages e-mail d'Outlook Express). Ce fichier contient le code du virus. Les pages sont les suivantes :
index.html index.asp readme.htm main.html main.asp default.htm
index.htm readme.html readme.asp main.htm default.html default.asp
Dans ce cas, si le navigateur d'Internet Explorer présente l'une des vulnérabilités mentionnées ci-dessus, il va immédiatement ouvrir le fichier readme.exe, qui est attaché au message readme.eml.
Il est important de noter qu'un système qui comporte ces vulnérabilités d'Internet Explorer va exécuter les fichiers .eml infectés automatiquement, à chaque fois que l'option "Afficher le contenu web dans les dossiers" est choisie. Ceci est certainement la plus remarquable des actions découlant de cette vulnérabilité.
Détection et désinfection
Voici toutes les précautions nécessaires pour protéger leur ordinateur de ce dangereux nouveau virus :
- Mettre son antivirus à jour avant d'ouvrir le client de messagerie. Actuellement, chaque éditeur offre son vaccin correspondant à ce virus dans toutes les solutions sécurité fournies par l'entreprise.
- Mettre la sécurité d'Internet Explorer à son niveau maximal.
- Mettre à jour le serveur IIS. pour Microsoft IIS 4.0 et pour Microsoft IIS 5.0.
- S'assurer que l'option "Utiliser les dossiers classiques de Windows" plutôt que "Afficher le contenu web dans les dossiers" est choisie dans Windows Explorer (options Dossiers). Ceci va empêcher les fichiers .eml infectés de s'exécuter automatiquement juste en cliquant dessus.
- En plus, vous pouvez vérifier si votre ordinateur a été infecté par ce ver et même le neutraliser avec notre antivirus gratuit en ligne : Panda ActiveScan, disponible à l'adresse suivante :
Rendez-vous chez Panda
- McAfee propose également sa protection contre ce vilain vers :
Rendez-vous chez McAfee
- Norton, lui aussi, vous protège désormais de ces attaques :
Rendez-vous chez Norton
Ce ver se déclenche automatiquement si la fenêtre de prévisualisation des messages d'Outlook est activée et l'éditeur d'antivirus recommande aux usagers de mettre à jour leur antivirus avant d'ouvrir les messageries Outlook.
A cause de la vitesse accrue de propagation du ver W32/Nimda.A@mm (alias Nimda), Les éditeurs d'antivirus viennent de sortir l'antidote qui va permettre aux usagers de mettre à jour leurs programmes antivirus. Une fois le logiciel d'antivirus mis à jour, les utilisateurs seront à l'abri de cette nouvelle menace.
W32/Nimda.A@mm (alias Nimda) est un dangereux ver de mass-mailing qui se déclenche automatiquement lorsque le message qu'il contient est visualisé dans la fenêtre de prévisualisation. Il se répand par e-mail en utilisant une vulnérabilité dans Internet Explorer 5 et dans les messageries Outlook et Outlook Express. Cette vulnérabilité a été découverte par Juan Carlos Garcia Cuartango.
Cette vulnérabilité a deux caractéristiques majeures: d'une part, elle utilise le code HTML, qui génère un cadre. D'autre part, elle utilise un attachement codé en Base64, marqué comme audio/x-wav. Les deux actions parviennent à tromper la composante d'Internet Explorer qui offre des services de navigation aux clients des messageries de Microsoft. En fait, le ver parvient à passer au travers d'un fichier audio qui s'exécute automatiquement lorsque le message est ouvert.
Voies d'infection
L'infection se produira lorsque l'usager ouvrira son message ou le visualisera dans la fenêtre de prévisualisation. La raison réside dans le fait que le client messagerie admet a priori que l'attachement est un fichier audio qui doit se déclencher automatiquement. En plus, il s'auto-envoie par e-mail en établissant des connections à Internet à travers les commandes SMTP. Pour obtenir les adresses e-mail de la victime, il se connecte au système d'e-mail à travers SimpleMAPI puis parcourt les messages en quête d'adresses électroniques.
En outre, il est intéressant de mentionner que le corps du message contient le texte suivant, qui renvoie à sa prétendue origine: "Concept Virus(CV) V.5, Copyright(C)2001 R.P.China".
Une fois que l'utilsateur reçoit le message et se trouve infecté, si le système installé est Windows 9x, le virus se copie lui-même dans le dossier système de Windows avec le nom et les attributs cachés suivants : LOAD.EXE. En outre, le ver modifie le fichier SYSTEM.INI en ajoutant la ligne indiquée ci-dessous. De la sorte, le virus s'assure de son exécution à chaque fois que le système est démarré: Shell=explorer.exe load.exe-dontrunold.
Ensuite, il copie un fichier avec des attributs cachés appelé riched20.dll dans le répertoire WindowsSystem. Ceci permet au virus de se lancer à chaque fois qu'une application utilisant DLL (comme par exemple Wordpad) est exécutée.
D'autre part, si le système installé est Windows NT ou Windows 2000, le ver crée le fichier LOAD.EXE dans le répertoire WinntSystem32. Ensuite, il crée un utilisateur appelé guest puis l'inclut dans le groupe des administrateurs locaux. Après quoi, il se connecte en tant que l'utilisateur défini ci-dessus et partage le volume C: comme C$.
En plus, ce ver utilise une autre vulnérabilité du IIS (Internet Information Server) pour altérer le contenu des pages listées ci-dessous de telle manière que si un autre utilisateur essaye de les voir, le code altéré par le virus ouvrira un autre fichier appelé readme.eml (un format utilisé par les messages e-mail d'Outlook Express). Ce fichier contient le code du virus. Les pages sont les suivantes :
index.html index.asp readme.htm main.html main.asp default.htm
index.htm readme.html readme.asp main.htm default.html default.asp
Dans ce cas, si le navigateur d'Internet Explorer présente l'une des vulnérabilités mentionnées ci-dessus, il va immédiatement ouvrir le fichier readme.exe, qui est attaché au message readme.eml.
Il est important de noter qu'un système qui comporte ces vulnérabilités d'Internet Explorer va exécuter les fichiers .eml infectés automatiquement, à chaque fois que l'option "Afficher le contenu web dans les dossiers" est choisie. Ceci est certainement la plus remarquable des actions découlant de cette vulnérabilité.
Détection et désinfection
Voici toutes les précautions nécessaires pour protéger leur ordinateur de ce dangereux nouveau virus :
- Mettre son antivirus à jour avant d'ouvrir le client de messagerie. Actuellement, chaque éditeur offre son vaccin correspondant à ce virus dans toutes les solutions sécurité fournies par l'entreprise.
- Mettre la sécurité d'Internet Explorer à son niveau maximal.
- Mettre à jour le serveur IIS. pour Microsoft IIS 4.0 et pour Microsoft IIS 5.0.
- S'assurer que l'option "Utiliser les dossiers classiques de Windows" plutôt que "Afficher le contenu web dans les dossiers" est choisie dans Windows Explorer (options Dossiers). Ceci va empêcher les fichiers .eml infectés de s'exécuter automatiquement juste en cliquant dessus.
- En plus, vous pouvez vérifier si votre ordinateur a été infecté par ce ver et même le neutraliser avec notre antivirus gratuit en ligne : Panda ActiveScan, disponible à l'adresse suivante :
Rendez-vous chez Panda
- McAfee propose également sa protection contre ce vilain vers :
Rendez-vous chez McAfee
- Norton, lui aussi, vous protège désormais de ces attaques :
Rendez-vous chez Norton
© 2003 -2008 PC INpact SARL de presse. Tous droits réservés ! - Powered by PCI WebEngine - PCINpact.com est un site de PC INpact Network
Glossaire : A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
Toutes les marques citées sur PC INpact appartiennent à leurs propriétaires respectifs ! - Page valide XHTML 1, CSS -
- Générée en 0.0287 s - Top 100 - Nos partenaires
Partenaires : Disque dur multimédia - Personnaliser Windows - Comparatif photo - Forum Science - Tom's Hardware - Sonneries et jeux pour mobiles - Test ADSL
Toutes les marques citées sur PC INpact appartiennent à leurs propriétaires respectifs ! - Page valide XHTML 1, CSS -
- Générée en 0.0287 s - Top 100 - Nos partenairesPartenaires : Disque dur multimédia - Personnaliser Windows - Comparatif photo - Forum Science - Tom's Hardware - Sonneries et jeux pour mobiles - Test ADSL
