(Courriels de diversion: <renflouerions@insinuons-rivalise.com> <alarmeront@donnaient-assouvisses.com> <electivite@pliures-inviolees.com> <hommes-grenouilles@reactualisions-saignerez.com> <impetueuse@amants-fraudent.com> <avaient@entrouvrirais-bouledogue.com> <rabâcheuses@desserrons-urbaine.com> <pesterai@algarade-interrogeaient.com> <repandrait@poinconnent-deballerais.com> <detrone@dorlote-cacheriez.com> )
L'avis ci-dessous a l'air sérieux et documenté; Faites-en bon usage. Sail-The-World wrote: > > >Lisez ceci. > >j'ai deja recu ce "VIRUS" sur mes listes, soyez donc vigilant. > > -------- Original Message -------- > Subject: "Pretty Park.exe" : alerte virale serieuse ! > > Avertissement > ------------- > Ce qui suit n'est pas une plaisanterie, ni un "hoax" quelconque (du > style "The Budweiser", "WIN A HOLIDAY", "Penpal Greetings",...). En > effet, je viens de découvrir ce qu'on peut qualifier de "virus" (actif > sous Windows 95/98 et NT), et référencé (aujourd'hui) nulle part. (Eh > oui, je me suis fait avoir !) > > Circonstances > ------------- > Je suis abonné (entre autres) à une mailing-list de l'AFUNT consacrée à > l'interopérabilité NT-UNIX (Linux compris) (ntlinux@afunt.org)> > J'ai reçu ce matin un Email émanant de cette liste (en principe > "sérieuse") et contenant en pièce-jointe un fichier intitulé "Pretty > Park.exe", de 37 ko, avec la mention "test". > > Analyse préalable > ----------------- > Etant prudent de nature, j'ai aussitôt soumis ce fichier à McAfee > (Windows NT4 WS+SP4, Viruscan 3.1.4a, base de signatures du 15/04/99), > qui me l'a déclaré sain. > > Je l'ai analysé avec Scanbin, qui m'a montré qu'il fait appel en > particulier à la DLL "wsock32.dll" (=communications IP : recvfrom, > sendto,...), ainsi qu'à la DLL "advapi32.dll" (gestion de la Base de > registres). Scanbin m'a déclaré que la liste des DLL était incomplète, > car faisant de l'appel dynamique (via LoadLibrary,...). > > Exécution > --------- > Voulant en savoir plus, je l'ai donc lancé sous Scanbin en mode > "exécution contrôlée", afin de voir ce qu'il se passait réellement. > Cela m'a déclenché l'économiseur d'écran "Canalisations 3D (OpenGL)" ! > Mais j'ai vu, (toujours grâce à Scanbin), que le fichier "pretty > park.exe" avait été copié dans le répertoire c:\winnt\system32, et > renommé en "files32.vxd" (aucune incidence directe sous Windows NT, qui > ignore les fichier VXD en tant que drivers, mais TRES dangereux sous > Windows 95/98 car au reboot suivant peut se fusionner dans le driver > principal VMM32.VXD) > > J'ai pu constater ensuite dans le gestionnaire de tâches de NT que > j'avais un processus "files32.vxd" qui tournait, que je me suis empressé > de tuer! > > Autres conséquences > ------------------- > Par ailleurs, sans que j'ai fait quoi que ce soit, un de mes collègues a > reçu presque aussitôt un EMail de ma part (envoyé à l'insu de mon plein > gré ;+)), contenant ce fameux fichier. Il utilise donc une procédure de > propagation par Email analogue au virus "happy99.exe" ou "Melissa", par > consultation d'un carnet d'adresses. > > Actions d'éradication entreprises > --------------------------------- > J'ai ensuite détruit le fichier "c:\winnt\system32\files32.vxd" > > Mais à partir de cet instant, je ne pouvais plus lancer aucun > exécutable! > Windows m'affichait le message "fichier files32.vxd introuvable, > nécessaire pour ouvrir les documents de type application"! > > J'en ai déduit que ce virus avait modifié les associations des fichiers > exe dans la base de registres. Mais je pouvais plus lancer directement > "regedit.exe" pour corriger cela! > J'ai donc fait appel à une autre application (en l'occurence l'éditeur > "UltraEdit", en ouvrant un fichier texte quelconque). Cet éditeur > (shareware remarquable) possède son propre "launcher" d'applications, et > m'a permis ainsi de lancer "regedit" directement. > > En consultant la clef HKEY_CLASSES_ROOT\exefile\shell\open\command, j'ai > découvert ceci (ce qui a entièrement confirmé mes déductions) : > Valeur de l'entrée "(Défaut)" : > > FILES32.VXD "%1" %* > > J'ai donc supprimé la chaine "FILES32.VXD", et tout est rentré dans > l'ordre. > > Conclusions > ----------- > Ce virus (car c'en est un, vu son mécanisme de propagation par Email) > n'est pas (apparemment) "méchant", puisqu'il se cantonne à lancer > l'économiseur d'écran. > Par contre il est "tenace", puisque tout lancement d'application (Word, > Notes, Notepad, ...) va le (ré)activer, et faciliter sa propagation. > > A ce jour (01/06/99) : > - J'ai fait des recherches sur "Pretty Park.exe", "files32.vxd" à l'aide > de Copernic : RIEN! > - J'ai consulté le site de McAfee : RIEN > - J'ai consulté le site de Symantec (Norton) : RIEN ! > > Conduite préventive > ------------------- > Si vous recevez un Email contenant le fichier "pretty park.exe", si vous > vous contentez de la lecture du courrier, il ne se passera rien. Par > contre, ne détachez pas cet exécutable, et surtout ne le lancez pas.Et > détruisez ce courrier ! > > Conduite curative > ----------------- > Si malgré tout vous l'avez exécuté : > > 1) Copiez les lignes suivantes dans un fichier quelconque, ayant > l'extension .reg (p.ex. "exe.reg") > > ------- couper ici ------ > REGEDIT4 > > [HKEY_CLASSES_ROOT\exefile\shell\open\command] > @="\"%1\" %*" > ------- couper ici ------ > > 2) Dans l'explorateur de Windows, double-cliquez sur ce fichier afin de > le fusionner dans la base de registres. > 3) Ouvrez le gestionnaire de tâches (commande CTRL-ALT-DEL) > 4) Repérez le processus FILES32.VXD > 5) "Tuez" ce processus > 6) Supprimez le fichier "c:\winnt\system32\files32.vxd" > > En espérant avoir été utile à la communauté... > > ! Dernière minute : la liste "fwntug@afunt.org" est aussi touchée !> -- > May the Force be with You ! > -------------------------------------------------------------------------- > Jean-Claude BELLAMY > http://members.aol.com/bellamyjc > Jean-Claude.Bellamy@edf.fr> EDF- Divison Recherche et Développement - 1, av. du Général de Gaulle > 92141 CLAMART CEDEX - FRANCE > http://www.edf.fr > > --------------------------------------------------- > > -- > "Si seul un ami peut vous proposer quelque chose de gratuit, n'oubliez jamais > que rien n'est plus cher qu'un veritable ami." > > Association SAIL THE WORLD > Autour du Monde en Bateau > > http://www.sail-the-world.com > webmaster@sail-the-world.com> > ______________________________________________ > ATTENTION : Pour un probleme de compatibilite > evitez les caracteres accentues dans vos mails. > ______________________________________________ > > Objet : Bateaux, equipements nautiques, > navigation, equipages, achat et vente nautiques... > > Pour poster un message vers la liste : > mailto:ListBay@BoatsAndYachts.com> > Pour discuter avec le facteur : > mailto:Postmaster@BoatsAndYachts.com> > Pour vous desabonner de la liste : > mailto:listserver@boatsandyachts.com> avec le texte (sans les guillemets) > "unsubscribe listbay" > ATTENTION : Votre email doit etre exactement > identique a celui avec lequel vous vous etes > inscrits a la liste et votre message ne doit > pas etre en HTML. > ______________________________________________ -- Linux hp-41 APTEP SF http://perso.club-internet.fr/jdanield jdanield@club-internet.fr - jdanield@www.linux-france.org _______________________________________________________________________ Le CULTe sur le ouebe: http://savage.iut-blagnac.fr/