[VIRUS] Palyh/Mankx Worm / Sobig B Fermé

Question

Bonjour à tous,Attention !Depuis plusieurs jours (10-15 jours), traînent des messages soi-disant envoyés par le service technique de MicroSoft et contenant un virus !!!Désolé de ne pas être plus précis sur l'objet, le texte, etc.J'écris ceci suite à la discussion lancée par Philyves : "Connexion internet au boot" -> http://www.commentcamarche.net/forum/affich.php3?cat=1&ID=300836&page=1Attention donc :- ce virus s'appelle "Palyh/Mankx/Sobig Worm" et correspond à une présence de l'exécutable msccn32 exe dans le système- Voici quelques liens vers :--- SecUser "Mankx" -> http://www.x-recherche.com/cgi-bin/trouve.cgi?name=secuser&MOTS=Palyh&SUBSTRING=on&nrespp=10--- Aspirine "Sobig B", 18/05/03 -> http://www.aspirine.org/frame.html?encyclo?recherche--- bipt.be, 19/05/03, medium risk -> http://www.bipt.be/virus/viruswarning.htm--- bitdefender "Win32.Sobig.B@mm (Palyh)", 18/05/03, damage Low -> http://www.bitdefender.com/bd/site/virusinfo.php?menu_id=1&v_id=86--- Sophos -> http://www.sophos.fr/virusinfo/analyses/w32palyha.html--- etc.@12C4 ... In medio stat virtus ...Ipl

ipl · Answer

...Il semble que la diffusion de ce virus soit importante et les dommages moyens à faibleEncore un lien :--- Bullguard --> http://www.sophos.fr/virusinfo/analyses/w32palyha.html@12C4 ... In medio stat virtus ...Ipl

ipl · Answer

Re,Excusez mon insistance !Je voudrais ajouter qu'un virus est souvent complexe et qu'il ne suffit pas d'enlever les symptomes pour "être sauvé" !Des altérations ont très souvent été apportées à plusieurs endroits du système et en particulier, à sa base de registres !En cas d'infection :- éviter au maximum, les connexions au réseau local, au réseau Internet jusqu'à désinfection complète- supprimer les fichiers inutiles (cookies, historique, Temp, TIF, corbeille) pour faciliter l'analyse et la désinfection, beaucoup d'éléments "malfaisants" se cachant dans ces fichiers- analyser soigneusement le système et le disque, avec un antivirus parfaitement à jour et parfaitement paramétré--- j'ai vu beaucoup d'utilisateurs satisfaits d'eux mêmes... avec un antivirus parfaitement innefficace !--- je préconise un scan avec un AV en ligne comme http://www.secuser.com/antivirus/ , noter le nom des fichiers infectés et des virus- parmi, les fichiers infectés, il y a des fichiers "inutiles" et des fichiers importants : savoir analyser la chose !- pour moi, un antivirus est fait pour protéger et détecter, pas pour réparer : attention aux AV comme NAV qui mettent si facilement les fichiers infectés en quarantaine !- lire soigneusement la documentation relative au virus pour bien cerner tous les dégats ( http://secuser.com/recherche/index.htm , http://www.aspirine.org/frame.html?encyclo )- trouver un antidote sur les sites précités ou chez les éditeurs d'AV ; en effet, un antidote est un programme spécialement fait pour éliminer UN VIRUS... il est évidemment, plus efficace que l'AV généraliste qui se doit de surveiller des milliers de virus !Pour finir, je rappelle qu'on ne doit pas en arriver à l'infection mais que la vraie protection est préventive :- attitude prudente,- information,- Antivirus en bon état- etc.@12C4 ... In medio stat virtus ...Ipl

BmV · Answer

Bonjour Ipl !Ton insistance est toute excusée, vu le sujet plus que sensible et important POUR TOUS !J'ai été infecté une fois, merci la galère ! Bonne journée !A+-=O(_BmV_)O=-          ||       ||

asevere · Answer

Un peu plus de details ?moi je l'ai recu la semaine derniere, et vu que j'ai pas l'habitude de recevoire des mails de ms je me suis mefié :)SYSTEME(S) CONCERNE(S) :Windows 95Windows 98Windows MeWindows NTWindows 2000Windows XPDESCRIPTION DETAILLEE :Sobig.B se présente sous la forme d'un message dont le titre, le corps et le nom du fichier joint sont aléatoires. Quelques titres de messages :    * Your details    * Approved (Ref: 38446-263)    * Re: Approved (Ref: 3394-65467)    * Your password    * Re: My details    * Screensaver    * Cool screensaver    * Re: Movie    * Re: My application Le corps du message est toujours "All information is in the attached file". La pièce jointe possède une extension en .PIF :    * your_details.pif    * ref-394755.pif    * approved.pif    * password.pif    * doc_details.pif    * screen_temp.pif    * screen_doc.pif    * movie28.pif    * application.pifSi le fichier joint est exécuté, le virus s'envoie à tous les correspondants présents dans le carnet d'adresses Windows, ainsi qu'aux adresses email contenues dans les fichiers .DBX, .HTM, .HTML, .EML ou .TXT. Dans sa version actuelle, Sobig.B est conçu pour ne plus s'activer à compter du 31/05/03 et ne devrait donc plus se propager à partir de cette date.( A verifié ce n'est qu'une possibilitée) voili voilou@+Na kaer eo va Breizh,                   gand ar mor glaz èn-dro dezi !

Terdef · Answer

Bonjour à tousJe reçois aussi, plusieurs fois par jour, depuis, en gros, mi mai,  et sur plusieurs de mes boîtes, des e-mail à l'origine fictive :support@microsoft.comCes posts déploient le virus W32.Sobig.B@mm (nombreuses autres dénominations - W32.HLLW.Mankx@mm, W32/Palyh@MM [McAfee], W32/Palyh-A [Sophos], I-Worm.Palyh [KAV], WORM_PALYH.A [Trend], Win32.Palyh.A [CA] ) décrit, chez Norton/Symantec, àhttp://securityresponse.symantec.com/avcenter/venc/data/w32.sobig.b@mm.htmlCes posts sont accompagnés d'une pièce jointe, screen_temp.zlo, qui est infecté(e) par le virus W32.Sobig.B@mm.La description de Norton est la meilleure que j'ai trouvée.Ce virus a été découvert le 18 mai 2003Les sujets utilisés pour le mail sont :# Your details# Approved (Ref: 38446-263)# Re: Approved (Ref: 3394-65467)# Your password# Re: My details# Screensaver# Cool screensaver# Re: Movie# Re: My applicationL'une des pièces jointes fait croire à un screen saver (un économiseur d'écran). Il faut rappeler avec force que 99,99% des économiseurs d'écrans gratuits sont des trojans dont la charge utile est soit un virus soit un backdoor de type RAT (prise de contrôle à distance d'une machine).Enfin, le moindre bon sens doit vous allerter, sacrebleu !!! Pourquoi voulez-vous que le support microsoft vous écrive !!! Rien que cet expéditeur doit vous mettre la puce à l'oreille et vous faire dire : c'est une usurpation ou un fake avec adresse fictive. Ayez un antivirus, et à jour - Norton Live Update, par exemple, tente une mise à jour automatique toute les 4 heures.Ce virus cessera son activité automatiquement à la fin du mois de mai.Les pièces jointes sont automatiquement détruites par Norton. Les autres garnds antivirus en font de même (Sophos, Kaspersky, Trend, Panda etc. ...)Terdef

Terdef · Answer

Re bonjour,Pensez à créer une règle (un filtre) pour éliminer automatiquement ces mail. Le faire directement sur le site hébergeant les boîtes, avant que le mail n'arrive dans la boîte du FAI. Par exemple, pour Free, allez à :http://mfilter.free.FrLa règle est simple : Tout ce qui est expédié par support@microsoft.com part à la poubelle définitive (pas la quarantaine).Terdef

ipl · Answer

Rebonjour à tous,Merci pour les compléments !>Terdef... Enfin, le moindre bon sens doit vous allerter, >sacrebleu !!! Tu sais bien combien il y a d'internautes même pas protégés par un Antivirus !!! :-(Je n'ai pas trop de temps pour dresser une liste exhaustive des précautions à prendre devant les e-mails et je compte sur vous pour l'allonger :- on active l'affichage du nom de fichier complet dans Windows Explorer (c'est à dire qu'on affiche l'extension)- on n'ouvre pas un email d'expéditeur inconnu, en particulier lorsque l'objet est douteux, autrement qu'en mode texte !- on n'ouvre pas un fichier joint sans avoir examiné celui-ci sous toutes ses coutures, y compris en provenance d'un copain... on vérifie qu'il n'a pas une double extension ni une extension "à risque" .pif .exe .scr .bat .com etc., on le scanne avec un AV- dans OE, on enlève le volet de prévisualisation- on active le scan de la messagerie par l'AV- çà c'est pour les virus... il y a quelques autres étapes pour le spam, les hoaxes et autres malwares !- etc. à vous ! ;-)@12C4 ... In medio stat virtus ...Ipl

azur · Answer

bonsoir a tous...merci IPL pour tes conseils ...ils sont tres utiles et ( helas !!) toujours d actualite...comme j ai lu que certains virus etait a meme de desactiver la plupart des antivirus...j ai  telecharge les patches de desinfection des virus les plus destructifs et des derniers qui sont apparus...ca ne coute rien...ca rassure car de temps en temps je lance ces patches...et le message de fin de scan......xxxxxx were not found on your system.....me donne la certitude de ne pas avoir les derniers virus apparus.......quand a la messagerie je vais d abord sur le serveur de mon fai...et si l expediteur m est inconnu je supprime le ou les messages....si le titre est en anglais meme provenant d une personne que je connais je supprime....n ayant pas de correspondants anglophones .....pas d etat d ame.....et de plus j ai installe configsecu......si tu as d autres tuyaux je suis preneur..la securite  c est l affaire de tout internaute ....ce n est helas pas le cas....A+

ipl · Answer

Bonjour azur, bonjour à tous,Encore quelques attitudes prudentes disparates :- je n'utilise pas de carnet d'adresses dans Outlook Express (je travaille par "répondre" et j'ai quelques adresses dans des fichiers Lotus-Organizer et Lotus-Notes- je conseille à ceux qui utilisent un carnet d'adresses, de se mettre eux-mêmes dans ce carnet de manière à recevoir eux_mêmes un message en cas d'utilisation (certains virus utilisent l'ensemble du carnet... d'autres piochent au hasard)- pas de visite de site douteux- éviter/prohibez le P2P actuel qui est "noyauté" par les majors du secteur musical (on les soupçonne d'y implanter des virus)- se méfier des macros Word/Excel ; ne pas désactiver le message d'avertissement et se poser la question de la présence de macros en cas de message- effectuer les Windows Updates- crypter les adresses de vos pages Web de manière à les rendre lisibles par les humains et inutilisables par les aspirateurs- sur les forums, utilisez des adresses du style gerardno@spamfree.fr (un humain saura retrouver la bonne)- utiliser plusieurs adresses de messagerie y compris certaines pour les sites/forums/chats à risques.... j'ai tout dit !   ;-)@12C4 ... In medio stat virtus ...Ipl

[VIRUS] Palyh/Mankx Worm / Sobig B

9 réponses

Discussions similaires

Newsletters