Virus ? stuff.MP3.pif
PETIT JULES
Messages postés
2
Statut
Membre
-
basbata -
basbata -
J'ai apparamment un problème avec un virus s'appelant stuff.MP3.pif. Mon NAV me l'a signalé, il ne sait pas le détruire (pourtant ma mise à jour est faite) je transmets au SARC qui m'indique que ce virus est déjà connu... pourtant il continue à être dans la bécane HELP !!!
Merci pour votre aide.
Merci pour votre aide.
A voir également:
- Virus ? stuff.MP3.pif
- Virus mcafee - Accueil - Piratage
- Virus informatique - Guide
- Virus facebook demande d'amis - Accueil - Facebook
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
- Undisclosed-recipients virus - Guide
2 réponses
Bonsoir PETIT JULES,
Tu confonds le fichier infecté (stuff.MP3.pif) avec le virus ! je parierais que tu as Badtrans !
Sache que NAV est incapable de l'éradiquer, tout juste de mettre les fichiers en quarantaine !
Vérifie le nom du virus (scanne Windows et ses sous-répert.).
Si tu n'attends pas trop : Badtrans peut être éliminer "à la main" : supprime tous les fichiers infectés (si çà te fait peur, envoie les en quarantaine). Il doit y avoir un ou plusieurs exemplaires de stuff.MP3.pif + Kernel32.exe + Kdll.dll SUPPRIME MOI CA !
Renseigne toi sur Badtrans, par exemple sur CCM (eh oui, tout simplement !) et va chercher l'antidote !
Lis bien la doc que tu trouveras sur Symantec.com, Sophos.com ou d'autres éditeurs car Badtrans est un des plus terrifiants: virus + Troyen (kdll.dll scrute le clavier pour uploaded mots de passe et code de Carte Bleue). Si tu lis soigneusement, tu verras qu'il te faut vérifier ta base de registre...
Traite moi çà le plus rapidement possible !
Bon courage !
Tu confonds le fichier infecté (stuff.MP3.pif) avec le virus ! je parierais que tu as Badtrans !
Sache que NAV est incapable de l'éradiquer, tout juste de mettre les fichiers en quarantaine !
Vérifie le nom du virus (scanne Windows et ses sous-répert.).
Si tu n'attends pas trop : Badtrans peut être éliminer "à la main" : supprime tous les fichiers infectés (si çà te fait peur, envoie les en quarantaine). Il doit y avoir un ou plusieurs exemplaires de stuff.MP3.pif + Kernel32.exe + Kdll.dll SUPPRIME MOI CA !
Renseigne toi sur Badtrans, par exemple sur CCM (eh oui, tout simplement !) et va chercher l'antidote !
Lis bien la doc que tu trouveras sur Symantec.com, Sophos.com ou d'autres éditeurs car Badtrans est un des plus terrifiants: virus + Troyen (kdll.dll scrute le clavier pour uploaded mots de passe et code de Carte Bleue). Si tu lis soigneusement, tu verras qu'il te faut vérifier ta base de registre...
Traite moi çà le plus rapidement possible !
Bon courage !
Je viens de faire des recherches sur Win... je n'ai pas trouvé Kernel32.exe, ni kdll.dll... Est-ce bon signe ou faut-il quand même mettre en route la moulinette anti-batrans que j'ai trouvée sur symantec ?
Excuse-moi pour le dérangement et merci pour le courrier précédent.
Petit Jules
Infos sur Badtrans trouvées à : http://aspirine.altasecu.com/control.html?encyclo
TYPE: ver Internet
CARACTERISTIQUES: installe un composant qui vole les mots de passe ; peut crasher les serveurs de courriers à cause d'un bug. Cause des problèmes de clavier à cause d'un autre bug.
TAILLE: 13 ko compressé, 40 ko décompressé
DECOUVERT: trouvé dans la nature le 12 avril 2001 script de désinfection
Voir aussi la variante plus récente Badtrans.B
Badtrans se propage dans un fichier attaché à un courrier électronique. Ce courrier infecté vient toujours en réponse à un message, donc on ne peut le recevoir que de la part de quelqu'un à qui on vient d'écrire. Le fichier joint peut avoir n'importe lequel des noms suivants :
Pics.ZIP.scr
images.pif
README.TXT.pif
New_Napster_Site.DOC.scr
news_doc.scr
hamster.ZIP.scr
YOU_are_FAT!.TXT.pif
searchURL.scr
SETUP.pif
Card.pif
Me_nude.AVI.pif
Sorry_about_yesterday.DOC.pif
s3msong.MP3.pif
docs.scr
Humor.TXT.pif
fun.pif
Souvent, l'extension .pif n'est pas affichée. Le corps du message est une copie du message d'origine, avec en plus la ligne
> Take a look to the attachment.
Si on clique sur ce fichier joint, le ver installe 3 fichiers :
C:\Windows\INETD.EXE
C:\Windows\HKK32.EXE ou C:\Windows\System\KERN32.EXE
C:\Windows\System\HKSDLL.DLL
Les 2 derniers fichiers forment le programme de vol de mots de passe. Il envoie les informations recueillies à l'adresse ld8dl1@mailandnews.com.
A la fin de son installation, Badtrans affiche un faux message d'erreur contenant le texte :
Install error
File data corrupt:
probably due to bad data transmission or bad disk access.
Une fois installé, il ouvre tous les courriers électroniques reçus et y répond en envoyant un message infecté. A cause d'un bug, deux ordinateurs infectés peuvent s'envoyer mutuellement des messages et se répondre l'un l'autre en cascade, ce qui plante assez rapidement le système. Dans certains cas, Badtrans peut aussi répondre sans arrêt au même message, et là aussi planter l'ordinateur.
Le programme de vol de mots de passe empêche le clavier de fonctionner correctement : les accents circonflexes et trémas sont affichés à côté des lettres (par exemple, c^^oté au lieu de côté).
Détails techniques :
Badtrans utilise le système MAPI, ce qui veut dire qu'il peut utiliser la plupart des logiciels de courrier.
Pour être lancé à chaque démarrage de Windows, Badtrans cré une clé dans la base de registres sous Windows NT/2000:
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
RUN = C:\WINDOWS\INETD.EXE
Sous Windows 95/98, il modifie le fichier Win.ini en modifiant la ligne
run=C:\WINDOWS\INETD.EXE
dans la section [windows]. L'ancienne valeur est perdue.
Le programme de vol de mots de passe installe aussi une clé dans la base de registres : HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\kernel32 = kern32.exe
Il vérifie la présence de cette clé toutes les 20 secondes, et la remet si elle a été effacée.
Variante plus récente Badtrans.B
TYPE: ver Internet
CARACTERISTIQUES: installe un composant qui vole les mots de passe ; Cause des problèmes de clavier à cause d'un autre bug.
TAILLE: 29 ko
DECOUVERT: en plusieurs points d'Europe le 24 novembre 2001 script de désinfection
Badtrans.B est une variante de Badtrans. Comme la version originale, il se propage dans un fichier attaché à un courrier électronique. La nouveauté, c'est qu'il utilise un bug d'Outlook, qui lui permet de s'installer sur l'ordinateur du destinataire dès que le mail est ouvert, sans que l'utilisateur clique sur le fichier attaché.
Détails sur ce bug, sur le site de Microsoft (en anglais) :
http://www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp
Pour les happy few qui utilisent un autre logiciel de courrier qu'Outlook, Badtrans ne s'installe que si on clique sur le fichier attaché (normal, quoi).
Si Badtrans.B réussit à s'installer, il crée les fichiers Kernel32.exe et KDLL.dll, Protocol.dll et CP_25389.NLS dans le dossier système de Windows.
Ensuite, il envoie des courriers infectés aux adresses qu'il trouve en scannant les fichiers html (en fait, toutes les extensions qui débutent par HT) et asp. Il trouve aussi des adresses dans les mails reçus. Le courrier envoyé n'a pas d'objet en général (juste Re:), sauf quand rarement il reprend l'objet d'un courrier réel. L'adresse de l'expéditeur est la plupart du temps la vraie, avec un tiret ( _ ) ajouté au début, et parfois une fausse choisie dans une liste. Le corps du message est vide, et le fichier attaché a un nom formé des éléments suivants : Nom 1ère extension 2ème extension
Pics
Card
images
Me_nude
README
Sorry_about_yesterday
New_Napster_Site
info
news_doc
HAMSTER
Humor
YOU_are_FAT!
fun
stuff
searchURL
SETUP
s3msong
.DOC
.ZIP
.MP3
.scr
.pif
Exemple : Me_nude.MP3.scr
Comme son ancêtre Badtrans.A, Badtrans.B installe sur les ordinateurs infectés un programme de vol de mots de passe (le fichier KDLL.dll). Ce programme est parfois détecté sous le nom "Hooker" ou "Trojan.PSW.Hooker". Il collecte des informations sur la machine (adresse IP, mots de passe, touches frappées au clavier...) et les envoie par mail, ici à une adresse sur hotmail. Ce programme empêche le clavier de fonctionner correctement : les accents circonflexes et trémas sont affichés à côté des lettres (par exemple, c^^oté au lieu de côté).
Avant de désinfecter un PC touché par Badtrans.B, il vaut mieux installer le patch de sécurité publié par Microsoft (en mars 2001, quand-même) :
Pour Internet Explorer 5.5, Windows 98/Me : http://download.microsoft.com/download/ie55sp1/secpac17/5.5_SP1/WIN98Me/fr/q290108.exe
Pour Internet Explorer 5.01, Windows 98 : http://download.microsoft.com/download/ie501sp1/secpac17/5.01_SP1/WIN98/fr/q290108.exe
Les courageux peuvent lire le détail en anglais : http://www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp