A voir également:
- VIRUS : LAINDEMINTE.EXE ??!! Merci de m'aider
- Svchost.exe virus - Guide
- Youtu.be virus - Guide
- Faux message virus ordinateur - Guide
- Faux message virus iphone - Forum iPhone
- Tinyurl.com virus - Forum Virus
1 réponse
Est ce que ce ne serait pas Magistr, il est très répandu actuellement (je l'ai éradiqué deux fois aujourd'hui). Voici les explications trouvées à :
http://aspirine.altasecu.com/control.html?encyclo
TYPE: ver Internet + virus de fichiers
TAILLE: environ 30 Ko
CARACTERISTIQUES: Très destructeur, polymorphe
DECOUVERT: dans la nature dès la mi mars 2001 pour Magistr.A, le 3 septembre 2001 pour Magistr.B
variante Magistr.B, ou Magistr.39921
Description rapide :
C'est l'un des virus les plus complexes actuellement, et en tout cas le plus dangereux. Il se transmet principalement en envoyant des courriers électroniques infectés, mais l'objet, le corps du message et le nom du fichier attaché changent à chaque envoi. Il infecte aussi les fichiers PE Il peut enfin infecter des machines en passant par les réseaux locaux.
Le mode d'infection particulier de ce virus le rend difficile à désinfecter. Il est donc possible que certains fichiers ne soient plus récupérables après l'infection.
Actions :
De temps en temps, Magistr interdit de cliquer sur les icônes du bureau ; quand on approche la souris d'une icône, celle-ci se déplace. Un peu comme si les icônes fuyaient la souris.
Nettement moins drôle, un mois après l'infection, Magistr remplace le contenu de tous les fichiers du disque dur et sur les disques réseau par le texte YOUARESHIT. Sous Windows 9x, il écrase aussi la mémoire CMOS, le BIOS Flash, et le disque dur, comme le virus CIH (Tchernobyl).
Ensuite, il affiche ce message
Another haughty bloodsucker.......
YOU THINK YOU ARE GOD ,
BUT YOU ARE ONLY A CHUNK OF SHIT
Détails techniques :
Pour s'installer en mémoire, Magistr patche le processus "Explorer" avec un petit loader qui le charge en tant que thread d'Explorer. Ensuite, il dort 3 minutes (faut bien se reposer).
Puis il repère un fichier du répertoire de Windows, en principe le 1er. Il l'infecte et place une clé dans la base de registres pour que le fichier soit lancé à chaque démarrage de Windows. Ce fichier est "sacrifié", l'application qui était à l'intérieur ne sera plus exécutée. Ceci pour que le virus puisse se lancer au démarrage sans effets de bord.
Ensuite, Magistr passe en revue le répertoire de Windows et y infecte les fichiers .exe et .scr. Il fait la même chose sur les partages réseau, où il ajoute une ligne "run=" au fichier WIN.INI, pour être lancé dès le démarrage de la machine réseau infectée.
Pour créer ses emails, le virus récupère des adresses dans Outlook Express, Netscape Messenger, et Internet Mail and News. L'objet et le corps du message peuvent être inexistants, ils peuvent aussi contenir un texte construit au hasard à partir d'expressions prédéterminées (expressions juridiques en français, anglais, espagnol) et de mots pris dans les fichiers .DOC et .TXT de l'ordinateur infecté. Le fichier infecté joint est choisi parmi les fichiers de moins de 132 Ko.
Magistr utilise 3 serveurs SMTP pour envoyer les messages infectés, et la plupart du temps, il modifie l'adresse de l'expéditeur, pour que celui-ci ne puisse pas recevoir d'avis comme quoi il est infecté.
Magistr contient ce texte, qui n'est pas affiché :
ARF! ARF! I GOT YOU! v1rus: Judges Disemboweler. by: The Judges Disemboweler. written in Malmo (Sweden)
variante : Magistr.B ou Magistr.39921 revoir Magistr.A
Cette variante, apparue le 3 septembre 2001, est encore plus agressive que le premier.
Détection et surtout désinfection encore plus difficile:
Le virus ajoute un cryptage supplémentaire avec une clé fonction du nom du poste infecté. Si on copie des fichiers infectés d'un poste à l'autre, ils ne pourront pas être décryptés et ne fonctionneront pas.
Encore plus dangereux:
Le virus infecte les fichiers WIN.COM et NTLDR avec un programme qui peut effacer les données du disque au démarrage ainsi que les fichiers partagés en réseau. Il détruit également tous les fichiers .NTZ et ferme le pare-feu Zone Alarm.
Ver encore plus actif:
Le virus recherche également les adresses dans la messagerie Eudora.
Plus de possibilités d'infection des réseaux:
Le ver s'installe maintenant dans les répertoires: WINNT, WINDOWS, WIN95, WIN98, WINME, WIN2000, WIN2K, WINXP
Ce ver est extrêmement complexe à la fois à détecter et à désinfecter, et beaucoup de logiciels anti-virus s'y cassent les dents. Certains fichiers infectés risquent de ne pas être détectés, et donc de relancer une infection. Il est primordial mettre son anti-virus à jour le plus souvent possible (tous les jours, dans l'idéal).
http://aspirine.altasecu.com/control.html?encyclo
TYPE: ver Internet + virus de fichiers
TAILLE: environ 30 Ko
CARACTERISTIQUES: Très destructeur, polymorphe
DECOUVERT: dans la nature dès la mi mars 2001 pour Magistr.A, le 3 septembre 2001 pour Magistr.B
variante Magistr.B, ou Magistr.39921
Description rapide :
C'est l'un des virus les plus complexes actuellement, et en tout cas le plus dangereux. Il se transmet principalement en envoyant des courriers électroniques infectés, mais l'objet, le corps du message et le nom du fichier attaché changent à chaque envoi. Il infecte aussi les fichiers PE Il peut enfin infecter des machines en passant par les réseaux locaux.
Le mode d'infection particulier de ce virus le rend difficile à désinfecter. Il est donc possible que certains fichiers ne soient plus récupérables après l'infection.
Actions :
De temps en temps, Magistr interdit de cliquer sur les icônes du bureau ; quand on approche la souris d'une icône, celle-ci se déplace. Un peu comme si les icônes fuyaient la souris.
Nettement moins drôle, un mois après l'infection, Magistr remplace le contenu de tous les fichiers du disque dur et sur les disques réseau par le texte YOUARESHIT. Sous Windows 9x, il écrase aussi la mémoire CMOS, le BIOS Flash, et le disque dur, comme le virus CIH (Tchernobyl).
Ensuite, il affiche ce message
Another haughty bloodsucker.......
YOU THINK YOU ARE GOD ,
BUT YOU ARE ONLY A CHUNK OF SHIT
Détails techniques :
Pour s'installer en mémoire, Magistr patche le processus "Explorer" avec un petit loader qui le charge en tant que thread d'Explorer. Ensuite, il dort 3 minutes (faut bien se reposer).
Puis il repère un fichier du répertoire de Windows, en principe le 1er. Il l'infecte et place une clé dans la base de registres pour que le fichier soit lancé à chaque démarrage de Windows. Ce fichier est "sacrifié", l'application qui était à l'intérieur ne sera plus exécutée. Ceci pour que le virus puisse se lancer au démarrage sans effets de bord.
Ensuite, Magistr passe en revue le répertoire de Windows et y infecte les fichiers .exe et .scr. Il fait la même chose sur les partages réseau, où il ajoute une ligne "run=" au fichier WIN.INI, pour être lancé dès le démarrage de la machine réseau infectée.
Pour créer ses emails, le virus récupère des adresses dans Outlook Express, Netscape Messenger, et Internet Mail and News. L'objet et le corps du message peuvent être inexistants, ils peuvent aussi contenir un texte construit au hasard à partir d'expressions prédéterminées (expressions juridiques en français, anglais, espagnol) et de mots pris dans les fichiers .DOC et .TXT de l'ordinateur infecté. Le fichier infecté joint est choisi parmi les fichiers de moins de 132 Ko.
Magistr utilise 3 serveurs SMTP pour envoyer les messages infectés, et la plupart du temps, il modifie l'adresse de l'expéditeur, pour que celui-ci ne puisse pas recevoir d'avis comme quoi il est infecté.
Magistr contient ce texte, qui n'est pas affiché :
ARF! ARF! I GOT YOU! v1rus: Judges Disemboweler. by: The Judges Disemboweler. written in Malmo (Sweden)
variante : Magistr.B ou Magistr.39921 revoir Magistr.A
Cette variante, apparue le 3 septembre 2001, est encore plus agressive que le premier.
Détection et surtout désinfection encore plus difficile:
Le virus ajoute un cryptage supplémentaire avec une clé fonction du nom du poste infecté. Si on copie des fichiers infectés d'un poste à l'autre, ils ne pourront pas être décryptés et ne fonctionneront pas.
Encore plus dangereux:
Le virus infecte les fichiers WIN.COM et NTLDR avec un programme qui peut effacer les données du disque au démarrage ainsi que les fichiers partagés en réseau. Il détruit également tous les fichiers .NTZ et ferme le pare-feu Zone Alarm.
Ver encore plus actif:
Le virus recherche également les adresses dans la messagerie Eudora.
Plus de possibilités d'infection des réseaux:
Le ver s'installe maintenant dans les répertoires: WINNT, WINDOWS, WIN95, WIN98, WINME, WIN2000, WIN2K, WINXP
Ce ver est extrêmement complexe à la fois à détecter et à désinfecter, et beaucoup de logiciels anti-virus s'y cassent les dents. Certains fichiers infectés risquent de ne pas être détectés, et donc de relancer une infection. Il est primordial mettre son anti-virus à jour le plus souvent possible (tous les jours, dans l'idéal).
