message alerte ramses pour 03/02

Ramses

ton message que nous avons reçu par mail correspondrait il à cela .

Copie d'un message sur un autre forum

Citation :

Je vous reproduis ci-dessous le message d'un ami informaticien, TRES SERIEUX.

"Le virus de masse appelé « Blackmal.E » ou « Nyxem.E » pourrait avoir infecté près de 500 000 cibles lors de son premier week-end de propagation. Son premier vecteur de diffusion est les pièces jointes attachées aux courriers électroniques, mais il peut également « voyager » via vos partages réseau.

Généralement, le mail comporte un objet aléatoire, tel que « School girl fantasies gone bad », « Re : Sex Video », « A Great Video », « Hot Movie » ou encore « Fwd : Photo » et sûrement bien d'autres.

Autant d’incitations à ouvrir cette pièce jointe à l’extension aléatoire, ce genre de « sujets » devrait tout de même vous inquiéter, c'est une bonne habitude à prendre. La pièce jointe incriminée avoisine la taille des 100 ko et se présente sous la forme d'un document multimédia à visualiser (photo, vidéo …).

Ce virus fait partie de la catégorie des vers et modifie la base de registre de votre système après avoir tenté de désactiver les antivirus que vous auriez pu installer sur votre machine ou tout autre système de sécurité. Il procède ensuite à un envoi massif automatisé à toutes les adresses email trouvées en scannant votre disque dur.

Son but est de supprimer certains types de fichiers le 3 de chaque mois, vérification de la véracité de cette information dès le 3 février de l'année courante pour ceux qui n'auront pas appliqué les solutions proposées.

Une fois exécuté, le ver se copie dans le répertoire « Windows » sous l’appellation « Rundll16.exe », ainsi que dans le répertoire « System » sous « scanregw.exe », « Winzip.exe », « Update.exe », « WINZIP_TMP.EXE », « SAMPLE.ZIP » et « New WinZip File.exe ».

Fonctionnalité plutôt insolite, le virus incrémenterait un compteur, hébergé par le fournisseur d'accès RCN pour chaque nouvelle machine infectée. Ce compteur aurait apparemment déjà dépassé les 8 millions de machines, comme a pu le constater l’éditeur de solutions antivirales F-Secure.

Ces chiffres sont cependant à interpréter avec grande précaution, puisqu’il existe de fortes chances que le compteur ait commencé au dessus de zéro et prenne en compte tous les navigateurs visitant la page en question, mélangeant ainsi de simples visiteurs et des machines réellement victimes du virus.

Toutefois, même si ce chiffre s’avérait exact, ce virus n’a finalement affecté, et c'est relatif, que « peu » de machines par rapport à des virus comme MSBlast ou Blaster, qui avaient touché environ 25 millions d’ordinateurs, selon les chiffres officiels de Microsoft.

Les ordinateurs qui resteront infectés au 3 février verront une dizaine de types de données différentes purement et simplement supprimées de leur disque dur, parmi lesquelles tous les fichiers Word, Excel, Powerpoint ou PDF. Cependant, on peut envisager un parallèle entre ce ver et le virus Sober, censé télécharger des fonctions supplémentaires le 5 janvier de cette année, et qui en réalité ne s’était pas exécuté.

Tous les systèmes d’exploitation Windows sont concernés (95, 98, Me, NT, 2000, 2003). Pour éviter tout désagrément, nous vous conseillons d’abord de mettre à jour votre antivirus ou d'en installer un au plus vite et de limiter ensuite l'accès à vos partages de ressource.

En cas d’infection, il est indispensable de sécuriser votre ordinateur et d’installer ensuite l’utilitaire de désinfection de Blackmal.E créé par Symantec à cette adresse : http://securityresponse.symantec.com/avcenter/FixBmalE.exe.

Ndlr : il ne serait pas surprenant de voir combiner une faille de type image comme les récentes vulnérabilités de « WMF » avec un ver « leurre » du type de Nyxem.E, où le vecteur d'initialisation serait l'image du compteur en elle-même et sa propagation s'effectuerait via la couverture médiatique (Social Engineering) du ver et la visite par un simple navigateur de la page. C'est vicieux mais réalisable !

Cet ami m'a joint un fichier de Symant.c permettant de scanner le PC pour savoir si l'on est déjà infecté. Vous pourrez le télécharger en cliquant sur l'adresse ci-dessus.

J'ai passé mon ordi avec ce logiciel qui a détecté que je n'ai pas ce virus.

A toutes fins utiles pour vous

C'est bien de ce ver que j'ai parlé dans mon message d'alerte.

Je vais faire le test.

Finalement, je crois que je ne vais pas ouvrir le PC ou tout au moins les boîtes à mail le 3 février.

J'ai fait le test Symantic qui ne m'a pas révélé de virus.
Seulement deux adwares que je n'ai pu élminer qu'en partie. En effaçant les fichiers temporaires Internet.

Par après, j'ai scanné tout avec Avast. Pas de virus.

Bonne chance à tous et toutes.