Onlineformapro - Portail de la formation professionnelle
ACCUEIL
ESPACE STAGIAIRE ESPACE ENTREPRISE ESPACE FORMATEUR


 
ACTUALITÉ VIRALE - TOUT SUR LES VIRUS

Se protéger...

Nimda, un dangereux virus de mass-mailing

Ce ver se déclenche automatiquement si la fenêtre de prévisualisation des messages d’Outlook est activée Les éditeurs d’antivirus recommandent aux usagers de mettre à jour leur antivirus avant d’ouvrir les messageries Outlook.

W32/Nimda.A@mm (alias Nimda) est un dangereux ver de mass-mailing qui se déclenche automatiquement lorsque le message qu’il contient est visualisé dans la fenêtre de prévisualisation. Il se répand par e-mail en utilisant une vulnérabilité dans Internet Explorer 5 et dans les messageries Outlook et Outlook Express. Cette vulnérabilité a été découverte par Juan Carlos Garcia Cuartango. Cette vulnérabilité a deux caractéristiques majeures: d’une part, elle utilise le code HTML, qui génère un cadre. D’autre part, elle utilise un attachement codé en Base64, marqué comme audio/x-wav. Les deux actions parviennent à tromper la composante d’Internet Explorer qui offre des services de navigation aux clients des messageries de Microsoft. En fait, le ver parvient à passer au travers d’un fichier audio qui s’exécute automatiquement lorsque le message est ouvert

voies d’infection
L’infection se produira lorsque l’usager ouvrira son message ou le visualisera dans la fenêtre de prévisualisation. La raison réside dans le fait que le client messagerie admet a priori que l’attachement est un fichier audio qui doit se déclencher automatiquement.
En plus, il s’auto-envoie par e-mail en établissant des connections à Internet à travers les commandes SMTP. Pour obtenir les adresses e-mail de la victime, il se connecte au système d’e-mail à travers SimpleMAPI puis parcourt les messages en quête d’adresses électroniques.
Lle corps du message contient le texte suivant, qui renvoie à sa prétendue origine: “Concept Virus(CV) V.5, Copyright(C)2001 R.P.China”.

Une fois que l’utilsateur reçoit le message et se trouve infecté, si le système installé est Windows 9x, le virus se copie lui-même dans le dossier système de Windows avec le nom et les attributs cachés suivants : LOAD.EXE.
De plus, le ver modifie le fichier SYSTEM.INI en ajoutant la ligne indiquée ci-dessous.
De la sorte, le virus s’assure de son exécution à chaque fois que le système est démarré: Shell=explorer.exe load.exe –dontrunold.
Ensuite, il copie un fichier avec des attributs cachés appelé riched20.dll dans le répertoire Windows\System.
Ceci permet au virus de se lancer à chaque fois qu’une application utilisant DLL (comme par exemple Wordpad) est exécutée.
D’autre part, si le système installé est Windows NT ou Windows 2000, le ver crée le fichier LOAD.EXE dans le répertoire Winnt\System32. Ensuite, il crée un utilisateur appelé guest puis l’inclut dans le groupe des administrateurs locaux. Après quoi, il se connecte en tant que l’utilisateur défini ci-dessus et partage le volume C: comme C$.
En plus, ce ver utilise une autre vulnérabilité du IIS (Internet Information Server) pour altérer le contenu des pages listées ci-dessous de telle manière que si un autre utilisateur essaye de les voir, le code altéré par le virus ouvrira un autre fichier appelé readme.eml (un format utilisé par les messages e-mail d’Outlook Express).

Détection
- Mettre son antivirus à jour avant d’ouvrir le client de messagerie.
Actuellement, Panda Software offre le vaccin correspondant à ce virus dans toutes les solutions sécurité fournies par l’entreprise. - Mettre la sécurité d’Internet Explorer à son niveau maximal.

Vérifier si votre ordinateur a été infecté par ce ver et même le neutraliser avec l' antivirus gratuit en ligne : Panda ActiveScan,
disponible à l’adresse suivante: http://www.pandasoftware.com/com/fr/
Panda Quick Remover scanne votre disque dur à la recherche des fichiers infectés, les désinfecte et supprime toutes les lignes de codes ajoutées par Nimda dans la base des registres et autres fichiers systèmes. Notez que Panda Quick Remover vous débarrasse également des virus Funlove, Sircam, I Love You, etc...

Téléchargez pour éliminer
l'Eradicateur Nimda

FixNimda : ( 454Ko) :
recherche et élimine le virus Nimda (à utiliser jusqu'à ce que l'analyse ne détecte plus de virus).

Les sites
http://www.sophos.com/virusinfo/analyses/w32nimdaa.html
http://www.f-secure.com/v-descs/nimda.shtml
http://www.sarc.com/avcenter/venc/data/w32.nimda.a@mm.html

 

Onlineformapro - 70000 VESOUL -Tel : 03 84 76 52 44 - Fax : 03 84 76 90 80 Copyright © Onlineformapro