Info virus Mydoom

houla non c'est pas du tout, mais alors pas du tout un hoax...

pas du tout un hoax!!!!! Ma boite a été touchée!

ça n'arrette pas de défiler dans ma boite
ça casse un peu les bonbons mais tant qu'on ouvre pas y-as pas de risque.

Ah les chimistes et l'informatique !

Eh non, C pas du tout un hoax! Ma messagerie a été touchée, mais j'ai pas ouvert la PJ...Et toute ma société est infectée...

Surtout si on a Norton, aucun problème il les met en quarantaine !

ouais depuis deux jours c'est bien bien lourd... Enfin au moins je connais au la raison maintenant...
Sinon je me demande vraiment quels sont les mongols qui ouvre les pièces jointes !!??
Comme avec le "mail" de crosoft pour la mise à jour, mdr....

Les virus en .exe ou .scr ou je ne sais quoi... ca fait doucement rigoler mon Mac..

Comme a dit un de mes amis : "Ca me fait penser au jeu Wolfenstein, avec les monstres électriques qui tournent en rond derrière la vitre blindée".

Avec Outloque, y'a pas un moyen de filtrer le courier indésirable? Mail, sur Mac le fait très bien.

J'ai recu ce matin W32.NOVARG.....Norton l'a placé en quarantaine mais même avec les dernieres mises à jour, il n'a pas pu reparer le fichier(fichier dont je me fous rotalement de toute facon).

c'est celui la :

Priorité : Ce message a été envoyé avec une priorité normale
Objet : Undelivered Mail Returned to Sender
Reçu le : 19/01/04 14:48

Fichier(s) joint(s) : Delivery error report Undelivered Message

This is the Postfix program at host mailer.bavoila.net.

I'm sorry to have to inform you that the message returned
below could not be delivered to one or more destinations.

For further assistance, please send mail to <postmaster>

If you do so, please include this problem report. You can
delete your own text from the message returned below.

The Postfix program

<**********s79@wanadoo.fr>: host smtp.wanadoo.fr[193.252.22.110] said: 550
<********lois79@wanadoo.fr>: User unknown (in reply to RCPT TO command

donc j'ai failli me faire avoir .

sale bete!!!

par contre ca touche meme ma boite "perso" qui n'est jamais spammee. La je pige moins, a moins que ca infecte les liste d'adresse de certains correspondants ?

>======================================================================
>
> Message du CERT-Renater (certsvp@renater.fr)
>
>======================================================================
>
>W32/Mydoom@MM
> -----------
>
>
>Autres noms rencontres : Mimail.R, Novarg.A, Shimg, W32.Novarg.A@mm,
> W32/MyDoom-A
>
>
>Ce ver/virus Internet se propage par le biais de la messagerie
>electronique et le reseau "peer to peer" Kazaa. Il cible les
>systemes Windows 95, 98, ME, NT, 2000 et XP.
>
>Il se cache dans la piece jointe d'un message presentant les
>caracteristiques suivantes:
>
> Expediteur: adresse usurpee/fabriquee
>
> Sujet: error
> hello
> hi
> mail delivery system
> mail transaction failed
> server report
> status
> test
> [caracteres aleatoires]
>
> Corps du message: texte variable.
> Entre autres on a pu observer:
> "test"
>
> "The message cannot be represented in 7-bit ASCII
> encoding and has been sent as a binary attachment."
>
> "The message contains Unicode characters and has been
> sent as a binary attachment."
>
> "Mail transaction failed. Partial message is available."
>
> Noms possible pour la piece jointe:
> body
> data
> doc
> document
> file
> message
> readme
> test
> [caracteres aleatoires]
> Avec l'extension:
> .zip
> .bat
> .cmd
> .exe
> .pif
> .scr
>
> taille du fichier: 22528 octets
>
>
>Entre autres actions, il semble qu'une fois active, le ver
>
> - place une copie de lui meme (taskmon.exe) dans le repertoire
> systeme de Windows,
> - modifie la cle de registre:
> * HKLM\Software\Microsoft\Windows\CurrentVersion\Run
> "TaskMon" = %sysdir%\taskmon.exe
> pour permettre que Taskmon.exe soit execute a chaque
> redemarrage,
> - cree le mutex "SwebSipcSmtxSO" pour eviter les reinfections
> successives,
> - recolte des adresses de correspondants dans un certain nombre
> de fichiers trouves sur le disque contamine. Il se sert de ces
> adresses pour forger les champs expediteur et destinataire des
> courriers electroniques qu'il envoie dans son processus de
> propagation,
> - depose sur le disque le fichier %sysdir%\shimgapi.dll qui
> semble etre une backdoor en ecoute sur le port 3127/tcp et
> permettant donc un acces distant et discret au systeme
> contamine. Un attaquant peut donc ainsi controller a distance
> le systeme infecte a l'insu de l'utilisateur du poste. Certains
> editeurs indiquent que la backdoor ouvre en fait les ports
> allant de 3127/tcp a 3198/tcp. shimgapi.dll est de plus charge
> par EXPLORER.EXE grace a la cle:
>
>HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
> "(Default)" = %System%\shimgapi.dll ,
> - programme pour lancer une attaque en deni de service sur le
> serveur web du groupe SCO a partir du 1er Fevrier 2004,
> - recherche dans la base de registre la valeur indiquant les
> repertoires partages des utilisateurs de Kazaa et depose dans
> ces repertoires des copies de lui meme avec les noms:
> winamp5
> icq2004-final
> activation_crack
> strip-girl-2.0bdcom_patches
> rootkitXP
> office_crack
> nuke2004
> avec des extensions de fichier choisies dans:
> .bat
> .exe
> .scr
> .pif
>
>
>Il semble que ce ver se propage tres tres rapidement en ce moment
>dans certaines communautes. La plupart des editeurs d'antivirus ont
>mis a jour leurs signatures virales le 26/01/2004.
>
>Pour de plus amples details, notamment des descriptions techniques
>des modifications apportees au systeme, consulter:
>
>http://isc.incidents.org/diary.html?date=2004-01-26
>
>http://securityresponse.symantec.com/avcenter/venc/data/w32.novarg.a@mm.html
>http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MIMAIL.R
>http://www.f-secure.com/v-descs/novarg.shtml
>http://vil.nai.com/vil/content/v_100983.htm
>http://www.sophos.com/virusinfo/analyses/w32mydooma.html
>http://www3.ca.com/virusinfo/virus.aspx?ID=38102
>
>Le second lien donne des indications sur les mesures a
>suivre pour la desinfection de systemes contamines dans
>la rubrique "removal instructions".
>
>
>
>Cordialement,
>
>
> =========================================================
> Les serveurs de référence du CERT-Renater
> http://www.urec.fr/securite
> http://www.cru.fr/securite
> http://www.renater.fr
> =========================================================
> + CERT-RENATER | tel : 01-53-94-20-44 +
> + 151 bd de l'Hopital | fax : 01-53-94-20-41 +
> + 75013 Paris | email: certsvp@renater.fr +

attention, cela n'a rien à voir avec du spam, c'est bel et bien un virus, ie il se propage a travers le carnet d'adresses. Donc soyez très attentif et faites chauffer les antivirus.

L'exilé>"pas du tout un hoax!!!!! Ma boite a été touchée!"

Tiens, la mienne aussi a ce qu'on m'a dit !!!

Plus les jours passent plus je suis heureux de ne pas travailler sous windows !!!

@+
smac

Y'a que Outlook qui autorise un virus à s'emparer du carnet d'adresse? Ou bien d'autres messageries sont concernées?
Quelle daube ce logiciel!!

et non, pas que Outlook pour une fois...
le virus vise SCO, proprio d'Unix, donc ils se sont mieux démerdés que d'habitude...

Pas un hoax du tout, la version A ciblait sco et la version B d'hier ciblerait Krosoft le 3 plutot que le 1er février.

C'est bien d'avoir Norton ou un autre anti-virus mais certains sont paramétrés pour ne faire leurs mise à jour qu'une fois par semaine -> grosse merde à moins de forcer une mise à jour manuelle ...

Pour le carnet d'adresse, Outlook si tu l'as mais de toute façon le cache web d'IE et tout ce qui ressemble à une adresse email ...

Une chose me gêne, Billou prépare avec Intel et d'autres une version de son OS pas triste avec vision licences louées pour une période déterminée, réseau sécurisé "intégré" à l'internet actuel -> de quoi encore plus verrouller les users MS et les différencier des autres ... qques mois de tapage médiatique virus, sécurité Inet etc -> ca y est !

Je l'ai vu passer, mais les .exe ou src.. étaient toujours dans un fichier zip.. donc il faut vraiment le vouloir pour l'exécuter.

Aux dernières nouvelles il y a maintenant la version Mydoom.B qui s'attaque maintenant au site microsoft.com et la protection antivirale originale contre la version "A" ne le détecte pas!
Source: Tribune de Genève

J'ai fait un truc de base sur mon ordi...
J'ai fait une recherche avec windows sur mon disque dur avec Taskmon, il a trouver un Tasckmon.exe
Je n'ait pas redemarrer mon ordi depuis plusieurs jours; faut-il que je l'efasse? je risque pas de supprimer un fichier systeme ? j'ai rien remarquer de bizzar sur mon ordi, le virus, n'est pas encore activé ??
Enfin bref, qu'on me dise ce qu'il faut faire, parceque je suis pas rassurer...

zervoche> 'le virus vise SCO'
dans une seconde phase, le virus va générer un denie de service sur le site sco en tentant de s'y connecter entre le 1.02 et le 12.02
par contre, ça ne frappe pas les systèmes Unix et GNU/Linux.

Réponse un : NON !, tu as plein de fichiers système qui, justement sont dans system ou system32, (en dessous de windows).

Réponse deux : ceux qui compilent les virus ne le font pas comme des boeufs, ici le dernier qui ralentit le net depuis qqes jours s'installe en effet avec un nom de fichier Windows connu, MAIS pas au bon endroit -> donc deux fichiers, le même nom mais pas la même chose.

Reponse trois : ne rien faire tout seul, charger un outil de détection spécifique (chez Fprot ou symantec ou Kaspersky etc.) laisser faire le test ...

Pas mal d'hoax cherche à faire supprimer des fichiers, cela fonctionne très bien, plus de Windows donc plus de problème ...

Pour éviter toutes nouvelles infections virales ou exploit des failles internet exploere, the soluce : demarrer boutton de droite, explorer, répertoire racine boot.ini, droite propirété, décocher lecture seule, droite supprimer, redémarrer-> fin des problèmes, bon bien sûr après il ne redémarre plus mais bon ...

pour résoudre le probléme il faut virer le gros virus entre la chaise et le clavier....

A+

lemonde.fr (oui, je sais, on fait mieux comme site spécialisé ! ) dit que la version B déclenche le virus sans même ouvrir la piéce jointe : il suffirait de lire le message !

On redouble donc de prudence !!

jpl> quand je dis 'par contre, ça ne frappe pas les systèmes Unix et GNU/Linux', je veux dire au niveau propagation du virus.
ensuite la version A du virus pointe vers sco et la version B pointe vers crosoft.

Euh... sinon j'ai eu ça moi : De : louis.lehmann@free.fr


A : vincent.******49@wanadoo.fr


Copie :


Priorité : Ce message a été envoyé avec une priorité normale
Objet : Hi
Reçu le : 20/01/04 23:13

Fichier(s) joint(s) : okrxrdeshga.exe

Test =)
kcuqhrbtungihwfir
--
Test, yep.

bizarre puisque adresse de l'expediteur sous free, qqn a des infos la dessus ? sachant que je n'ai aucun contact ayant cette adresse...

Dément!!!
Perso je reçois dans les 1 spam/jour avec mon adresse de base, et aujourd'hui, 15, dont 15x ce virus!! Jamais vu ça!

Tient c'est bizarre ça ...

Moi c'est mon deuxième virus que je reçois sur ma boîte e-mail alors que ça fait 4 ans que je l'aie !

ça doit dépendre des noms de messagerie !
C'est sur que badgirl@... ou autres ça doit frapper ! Après y'a les correspondances ...

Enfin bref, je m'en foue pour Virus machin B car Norton le met direct en quarantaine sans avoir le temps de l'ouvrir !

oulah !si on chope le truc yen qu'en le regardant, Badamoum !!! va y avoir du degat !!!

Pour la petite histoire SCO a revandiqué ya pas lomtemps des parties du code de linus, et demande des reparantion au distributeurs linux, a IBM...
Bref c'est pour ca que le virus attaque http:\\www.sco.com, je crois meme que ca doit commencer le 1er fevrier
Et comme il sont pas comptemp on mis a prix la tete du pirate a 250 000 $.
Que du bonheur quoi!!!

Oui, pour ceux qui n'ont pas d'antivirus ou protection e-mail

===>

(ouais je sais, > pietro-beretta a dit la même chose mais j'aimais bien le smiley )

pour se tenir informer des virus et des vulnérabilités : http://www.secuser.com http://www.cert.org/advisories/ http://www.f-secure.com/ http://www3.ca.com/virusinfo/

pour se protéger réellement, il suffit de sortir de la mono-culture actuelle en informatique. moi, je conseille GNU/Linux : http://www.mandrakesoft.com/ (par exemple)