Virus informatique

[pecketottawa]

Bon un nouveau virus et notre activité professionnelle est fortement ralentie aujourd'hui matin.

Alors attention à tous.

Voici copie l'article paru sur Cyberpresse.

Mydoom menace de paralyser Internet

PC

27 janvier 2004 - 07h41

Un nouveau virus informatique transmis par le biais des courriels a été détecté hier et, selon un expert, pourrait très vite paralyser le réseau Internet et exposer les ordinateurs personnels au vol de données.

Envoyer Imprimer © Reproduire

L'existence du virus, appelé Mydoom, a été confirmée vers 16 h par des techniciens de Network Associates Inc., l'entreprise qui produit et gère le programme antivirus McAfee, a indiqué le directeur de la société au Canada, Jack Sebbag.

Symantec Corp., qui fait la promotion de Norton, un autre programme antivirus, a aussi lancé une alerte au virus, qu'elle a nommé Norvag.

Le virus affecterait les systèmes d'exploitation Windows de Microsoft, à l'exception du 3.x, mais ne pourrait rien contre les autres systèmes (DOS, Linux, Macintosh, etc.).

« Il envoie des messages en quantité. Il reproduira le message et l'enverra aux gens inscrits dans votre liste d'adresses personnelle », a précisé M. Sebbag.

Le virus, de type ver, est situé dans une pièce jointe qui semble inoffensive et réduit la performance de l'ordinateur. L'icône utilisée pour le fichier tente de faire croire qu'il s'agit d'un dossier texte, selon Network Associates. Selon Symantec, une fois que le virus est découvert, il n'est pas compliqué de s'en débarrasser.

M. Sebbag a indiqué que l'origine de ce nouveau virus n'est pas connue, mais qu'il pourrait provenir de l'Amérique du Nord ou de l'Europe.

À mesure que des ordinateurs sont infectés, Mydoom pourrait ralentir tout le réseau Internet, selon M. Sebbag qui a précisé que le virus semble avoir la capacité d'enregistrer des données, « ce qui signifie que quelqu'un pourrait contrôler votre ordinateur ».

Selon M. Sebbag, Mydoom semble par ailleurs se répandre aussi vite ou plus vite que le virus SoBig qui a frappé l'an dernier.

[JayJay]

Je confirme. Je suis bombardée, à la maison et au bureau, par ce virus. Heureusement que je bosse en sécurité informatique... mais malheureusement mon ordinateur de la maison est atteint. Méfiez-vous de toute pièce jointe que vous recevez, particulièrement si le message porte le nom "Mail Delivery Failure" (ou qq chose de semblable) ou "Hi", etc. Les sujets de message sont aléatoires, mais un grand nombre de messages sont des prétendus notifications qu'un message n'a pas pu être livré. Je ne prends habituellement pas la peine de prévenir au sujet de virus, mais tout Ottawa (le gouvernement) est atteint ce matin et c'est très chiant.

[kremmig]

Salut,

La Cie ou je bosse est dans la panade ... attaque en pagaille du virus

J'ai regardé sur le net et il y a un tool utile pour supprimer le virus :

http://www.zdnet.fr/telecharger/windows/fi...65500s%2c00.htm

ou aller sur ce lien directement

Supprimer Virus MyDoom

Kremmig

[ThinkBigSti]

Je confirme

De part mon travail, j'ai plusieurs noms de domaines en .com

Et toutes mes emails .com sont bombardées

Les pros subissent donc actuellement un mail-bombing en règle

Je ne sais pas ce qu'il en est des particuliers...

Pourvu que cette attaque cesse rapidement !

ThingBigSti en colère contre les maudits hackers !!

[Nicolas]

Ca m'agace ces virus qui infiltrent les ordinateurs québécois sans avoir obtenu leur DCS !!!

[Invité]

J'espere pour vous tous que ce virus va etre exterminer, j'ais l'impression qu'il s'est attaque au canada,j'en est vaguement enttendue parler en france aussi.

Les anti virus classique ne fonctionne pas sur lui ou quoi ?

Bon courage pour la suite.

[JayJay]

Oui mais il faut nécessairement qu'il y ait eu quelques victimes avant que les définitions anti-virus soient mises à jour (tous les virus sont conçus pour désactiver l'anti-virus). Un conseil, lorsque vous faites un LiveUpdate de votre anti-virus (et faites-le!!!!!!!!), faites-le le mardi soir plutôt. Les définitions anti-virus sont faites le mardi il me semble. MyDoom, ou Novarg, a fait collapser plusieurs systèmes au Canada hier.

[ThinkBigSti]

L'attaque est encore en marche et je subis encore

le mail-bombing en règle qui découle de la

prolifération de ce virus nommé Mydoom

(connu aussi sous le nom de Novarm

ou encore Worm.SCO.A)

Tout le monde est touché et le virus se répand

à une vitesse assez inquiétante.

Parlez en autour de vous pour essayer de

stopper l'hémorragie et voici le lien

qui vous donnera de plus amples informations

et les moyens de vous débarasser de ce

worm très gênant :

Attaque virale contre la société SCO (mais qui touche tout le monde!!)

En espérant que cette attaque avorte rapidement !

ThinkBigSti dans la ligne de mire du worm

(comme presque tous les pros...)

[mima]

OUI je confirme l'avis de JayJay, ce virus est vraiment "grave" ! même en France !

Tout simplement faut faire attention !

Si vous avez un peu de temps et le courage alors bonne (et constructive) lecture.

A+

M

Article extrait de ZdNet :

****************************

Mydoom: un virus qui passe par Kazaa et vise SCO

Nouvelle épidémie en vue pour les systèmes Windows avec ce virus-ver "multitâche": il sature les réseaux, ouvre une porte dérobée sur les postes clients et est programmé pour lancer une attaque groupée contre le site de SCO.

Les ordinateurs fonctionnant avec Windows font face à leur deuxième épidémie de virus-ver en moins de 15 jours. Le parasite se prénomme cette fois Mydoom, alias Novarg ou encore Mimail.R. Une énième variante du virus Mimail découvert en août 2003.

Détecté le 26 janvier, Mydoom est un "mass mailer" qui se répand très rapidement sur les réseaux en les saturant. ZDNet lui attribue un indice de dangerosité de 7 sur une échelle de 10.

Comme toujours, ne pas ouvrir la pièce jointe protège

Ce virus peut donc également prendre la forme d'un e-mail, avec pour objet: ?Error, Status, Server Report, Mail Transaction Failed, Mail Delivery System, hello ou hi?. Le corps du message, toujours en anglais, varie; exemple: ?Mail transaction failed. Partial message is available?. Bien entendu, Mydoom est dissimulé dans la pièce jointe qui accompagne le message. Son nom peut varier comme son extension ? .zip, .bat, .exe, .pif, .cmd, .scr ? mais son poids reste fixe: 22,528 octets.

Comme souvent, il suffit de ne pas ouvrir cette pièce jointe pour que le virus demeure inactif. Dans le cas contraire, il contaminera la machine en commençant par chercher des adresses e-mails dans divers emplacements. Enfin, grâce à son propre moteur d'envoi de courrier (protocole SMTP), Mydoom se postera de lui-même vers l'ensemble des contacts trouvés.

S'il ne détruit aucune donnée sur le disque dur, Mydoom n'est est pas moins dangereux. Outre la saturation des réseaux qu'il peut entraîner au niveau d'un serveur d'e-mails, il installe également sur le poste client une porte dérobée ("backdoor"). Le système contaminé devient alors accessible à distance; une personne malintentionnée a les mains libres pour en prendre le contrôle ou y exécuter du code.

Un virus politique

Mais Mydoom n'est pas un mass-mailer comme un autre. ?Il semble que ce ver ait une vocation politique?, commente Eugenio Correnti, directeur technique de F-Secure France. Car il est également programmé pour lancer une attaque par déni de service (DDOS) à l'encontre du site de l'éditeur SCO. Ce type d'attaque a pour principe de saturer les serveurs hébergeant le site en lui envoyant un grand nombre de requêtes depuis la multitude d'ordinateurs infectés.

Rappelons que SCO Group défraye la chronique judiciaire en affirmant détenir des droits de propriété intellectuelle sur du code Unix présent dans le noyau Linux. L'attaque par déni de service est programmée pour la date du 1er février 2004 et jours suivants. Le virus a quant à lui une fin de vie fixée au 12 février.

Comme à l'accoutumée, les éditeurs de logiciels antivirus recommandent à leurs clients de mettre à jour leur programme; des additifs sont d'ores et déjà disponibles.

******************************

[Invité]

Moi aussi j'ai été touchée... mais pas coulée!: mon antivirus McAfee a détecté le couriel infecté!

[peanut]

Coucou!

Moi aussi, j'ai reçu un mail en anglais avec une piece jointe commencant par "Hi" qui disait en gros qu'une certaine Elene envoyait sa photo comme demandée! Je n'ai évidemment pas ouvert la pièce jointe et supprimé le mail... Heureusement, car mes définitions de virus dataient de 20 jours(je ne pouvais les upgrader, mais ce soir, j'ai réglé le problème!) )

peanut

[Invité]

Eh moi qui se trouve en france je suis bombardé par ce virus..... tous les jours je chope sur ma boîte mail ce courrier. Heureusement, je suis protégé par norton antivirus 03.... a chaque fois il me le détecte et me dit de le supprimer sans ouvrir les pièces jointes.

Pour l'instant je ne pense pas être touché.... mais vigilance!!!!

[Invité]

Oui, moi aussi j'ai reçu des mails un peu louches, mais je les ai supprimé.

Par contre, mon père a eu un virus qui empêche Norton de fonctionner et qui ralenti un peu l'ordinateur, il s'appelle agabot.fx (worm), si qq'un le connait et sait comment s'en débarraser... Je ne le trouve répertorié nul part!

[JayJay]

Ca continue: J'ai recu cet article aujourd'hui :

No doom yet for Mydoom

28 January, 2004

by Mark Cox

It's day three of the Mydoom rampage, and despite the best efforts of security software vendors, the virus continues to increase rapidly. But in addition to the original Mydoom.A, a variant of the worm, Mydoom.B has also made its appearance, While not as virulent as the original, at least not yet, it expands the scope of the danger, targeting Microsoft as well as SCO with a denial of service attack, and interfering with a PC?s ability to receive downloadable security software updates.

The number of computers infected by Mydoom.A is increasing rapidly. On Wednesday,anti-virus vendor Panda Software estimated 2.59 per cent of PCs worldwide ? over 150,000 -- had actually been infected. The number of attacks of course is much greater. Panda?s technical support team that there are more than a million and a half e-mails infected by the worm now in circulation, although this number is likely to increase, and that some companies are reporting their antivirus programs are blocking up to 3,000 Mydoom.A infected e-mails per minute trying to enter their network.

The number also doesn?t appear to be diminishing. Later on Wednesday?s Symantec Security Response said that while the number of submissions had leveled off, the preceding three hours had seen it spike significantly once again.

The new version Mydoom.B, the second version of the virus, is still listed as a less dangerous threat by security vendors. Panda has its threat level rated as low, and Symantec rates it a Level 2 threat. That could change, however, particularly if machines already infected with the first virus are used as a means of launching the second.

Mydoom.B will launch a denial of service attack, beginning February 1, on two vendors beloved of many techies -- SCO, which is threatening lawsuits around its claims to Linux, and perennial whipping boy Microsoft, which is scheduled to be attacked on February 3. It will also allow a hacker to gain unauthorized remote access to the compromised host, allowing to use the infected machine to conduct a network-based attack.

Mydoom.b contains a different set of text strings in the body. Kaspersky Labs identified the carrier file as 28 KB in size and containing the text string: "sync-1.01; andy; I'm just doing my job, nothing personal, sorry". The variant also uses different subject lines from the original, including 'Delivery Error' and 'Returned Mail,' to try and entice the user inside.

Even more problematic is that the new version contains a file that the security vendors indicate could bar a user from downloading software updates from some security sites, unless the offending file is deleted.

[JayJay]

Tu trouveras toutes les infos ici Clara : http://www.secuser.com/alertes/2003/gaobot.htm

[Invité]

Pfff assez d'accord avec Nicoco moi !!!

Remarque Nicoco ils ont pas le droit, et d'ailleurs ils entrent en fraude au QC... on va pas faire ça nous hein !?

Djool.

[vanessa]

Saleté de virus! Il est arrivé sur mon ordinateur il y a 2 jours! Il correspond à la description qu'en a fait JayJay