je viens de recevoir un email de TK5NN (chez radioamateur.org) dont le
titre est vide avec le texte "Mail transaction failed. Partial message
is available".
J'espere que vous n'avez pas cliqué dessus par "erreur"... Si c'est le
cas, vous pouvez supprimer TASKMON.EXE et le fichier SHIMGAPI.DLL.
Au fait, pour ceux qui utilisent le meme antivirus que moi, il ne voit
rien car ce n'est pas vraiment un virus mais un mouchard qui va se
connecter au net. En fai- sant un scanning avec l'antivirus, il le
trouve mais il n'arrivera pas a suppri- mer SHIMGAPI.DLL. Pour
supprimer ce fichier, si il vous resiste, passez sous DOS et allez
dans le repertoire WINDOWS\SYSTEM . Un bon DEL fera l'affaire.
Et comment je sais cela ..? Ben simple, je n'ai pas suivi les conseils
de mon site http://inforadio.free.fr , ce matin, une etourderie a vou-
lu que je clique sur une piece jointe (il s'appelait texte.scr) et le
script s'est bel et bien affiché au format texte avec notepad. Mais a
priori, au demarrage de mon PC, j'ai vu le disque dur qui avait une ac
tivité soutenue apres la fin du demarrage des programmes... A la pre-
miere connexion au net, TASKMON s'est mis a vouloir se connecter sur
un site... (de suite signalé par KERIO)
Bref, j'ai donc lancé un scan a l'antivirus qui a vu cette fois-ci que
les deux fichiers en question n'etaient pas trop sympathique.
Bref, dans ce cas concret, on voit que deux barrieres ont ete franchi
par le virus : le cerveau de l'operateur et l'antivirus mais que les
autres protections ont permis de se rendre compte du probleme dans la
foulée (avec remise en fonction du cerveau endormi...).
En conclusion, si vous trouvez le fichier SHIMGAPI.DLL, vous etes sans
doute infecté...
73's
PS : Je tends le baton pour me faire battre avec les "amis" que j'ai
ici mais RAB, le but est juste d'avertir les collegues. Ne jamais
baisser sa vigilance...
Menaces a deux balles, comme le personnage mytho de surcroit...
Touché? Dans le mille, je crois...
D'ailleurs si vous voulez je peux diffuser ici les mails des autres listes à votre sujet.
Ou mieux: Passez moi un mail qu'on rigole! J'ai des messages sur F5PBG, je vous les diffuserai ... :-) Qu'est ce qu'on va se marrer.
Et mytho, moi jamais :-) Pas le temps, trop de choses à faire. C'est pour ceux qui s'ennuient, ou certains retraités dont vous faites partie, je crois....
Enfin, bien heureux les simples d'esprit.
F5PBG a écrit:
Mais oui, mais oui... On fait de l'intox...
:)))
Menaces a deux balles, comme le personnage mytho
de surcroit...
Touché? Dans le mille, je crois...
D'ailleurs si vous voulez je peux diffuser ici les mails des autres listes à
votre sujet.
Ou mieux: Passez moi un mail qu'on rigole! J'ai des messages sur F5PBG, je vous
les diffuserai ... :-)
Qu'est ce qu'on va se marrer.
Et mytho, moi jamais :-)
Pas le temps, trop de choses à faire. C'est pour ceux qui s'ennuient, ou
certains retraités dont vous faites partie, je crois....
Menaces a deux balles, comme le personnage mytho de surcroit...
Touché? Dans le mille, je crois...
D'ailleurs si vous voulez je peux diffuser ici les mails des autres listes à votre sujet.
Ou mieux: Passez moi un mail qu'on rigole! J'ai des messages sur F5PBG, je vous les diffuserai ... :-) Qu'est ce qu'on va se marrer.
Et mytho, moi jamais :-) Pas le temps, trop de choses à faire. C'est pour ceux qui s'ennuient, ou certains retraités dont vous faites partie, je crois....
Enfin, bien heureux les simples d'esprit.
Didier
> Mais c'est parce qu'on peut pas le jeter d'ici !!!
Malheureusement oui. C'est pour celà qu'il est contre toute forme de modération.
> Mais c'est parce qu'on peut pas le jeter d'ici !!!
Malheureusement oui. C'est pour celà qu'il est contre toute forme de modération.
> Mais c'est parce qu'on peut pas le jeter d'ici !!!
Malheureusement oui. C'est pour celà qu'il est contre toute forme de modération.
Didier
F5PBG a écrit:
Mais oui, mais oui...
Oui, ca fait mal d'être confronté à la réalité. Je comprends.
L'essentiel, comme vous le dites si bien, c'est que l'info passe. Donc, je fais passer l'info. Et comme vous le dites si bien, envoyez moi un mail, je vous enverrai des infos sur /inforadio/F5PBG qui vous feront sourire :-)
F5PBG a écrit:
Mais oui, mais oui...
Oui, ca fait mal d'être confronté à la réalité. Je comprends.
L'essentiel, comme vous le dites si bien, c'est que l'info passe. Donc, je fais
passer l'info. Et comme vous le dites si bien, envoyez moi un mail, je vous
enverrai des infos sur Lud@vic/inforadio/F5PBG qui vous feront sourire :-)
Oui, ca fait mal d'être confronté à la réalité. Je comprends.
L'essentiel, comme vous le dites si bien, c'est que l'info passe. Donc, je fais passer l'info. Et comme vous le dites si bien, envoyez moi un mail, je vous enverrai des infos sur /inforadio/F5PBG qui vous feront sourire :-)
inforadio
Evidemment, ce n'est pas pour Didier, F6BSW...
;)
<<
Bonjour
Pour ceux qui ne seraient pas encore au courant, un nouveau virus extrêment virulent se propage depuis quelques jours. Il s'agit du virus "MyDoom" (alias "Novarg", "Shimg", "Mimail.R"). Il faut absolument l'eradiquer au plus vite et se rappeler de ne jamais cliquer sur une pièce jointe quand on ne sait pas d'où elle vient.
Description (copier-coller du site SECUSER.COM) : http://www.secuser.com/alertes/2004/novarg.htm "Novarg est un virus qui se propage par email et KaZaA. [...] Il se présente sous la forme d'un message dont le titre, le corps et le nom du fichier joint sont aléatoires. Quelques titres de messages : test hi hello Mail Delivery System Mail Transaction Failed Server Report Status Error [caractères aléatoires]
Le corps du message est variable, et incite à ouvrir le fichier joint : [rien] The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment. The message contains Unicode characters and has been sent as a binary attachment. Mail transaction failed. Partial message is available. test
La pièce jointe possède un nom aléatoire, une extension en .BAT, .CMD, .EXE, .PIF, .SCR ou .ZIP et son icône est celle d'un simple fichier texte : doc.bat document.zip message.zip readme.zip text.pif hello.cmd body.scr test.htm.pif data.txt.exe file.scr [caractères aléatoires].exe
Si ce fichier est exécuté : - le bloc-note Windows s'ouvre avec du texte aléatoire pour faire diversion, - le virus se copie dans le répertoire Système de Windows sous le nom TASKMON.EXE (un fichier système de Windows 95/98/Me porte le même nom : il ne faut en aucun cas supprimer un fichier du seul fait de son nom, mais confirmer l'infection avec un antivirus), - modifie la base de registres pour s'exécuter automatiquement à chaque démarrage de l'ordinateur, - puis s'envoie aux correspondants dont les adresses figurent dans le carnet d'adresses Windows ainsi que divers autres fichiers (.adb, .tbb, .dbx, .asp, .php, .sht, .htm et .txt) en utilisant une adresses choisie aléatoirement parmi celles récoltées sur le disque dur ou en forgeant une fausse adresse.
- Novarg installe une backdoor SHIMGAPI.DLL dans le répertoire Système qui autorise le téléchargement et l'exécution de programmes hostiles ou la prise de contrôle à distance via le port TCP 3127 à 3198, injecte cette DLL dans le fichier système EXPLORER.EXE et le cas échéant se copie sous divers noms aguicheurs dans le répertoire partagé via KaZaA : winamp5 icq2004-final activation_crack strip-girl-2.0bdcom_patches rootkitXP office_crack nuke2004
- Le virus est enfin conçu pour charger la page d'accueil du site Sco.com chaque seconde à partir du 01/02/04 pour tenter de provoquer un déni de service, ainsi que pour ne plus s'activer à partir du 12/02/04. Il ne devrait donc plus se propager de manière massive à partir de cette date.
Ce virus est signalé par : ------------------------ Microsoft: http://www.microsoft.com/security/antivirus/mydoom.asp
28/01/04 : une variante mineure Mydoom.B a été référencée par les éditeurs d'antivirus, mais contrairement à ce qu'indiquent certaines sources aucune propagation significative n'a été observée. Comme Mydoom.A, cette variante tente de se faire passer pour un message d'erreur, mais elle se distingue par une taille de fichier infectant plus importante (29.184 octets), sa capacité à bloquer l'accès aux sites de Microsoft et des principaux éditeurs d'antivirus, ainsi qu'à lancer une attaque contre le site Microsoft.com. Mydoom.B est censé pouvoir infecter automatiquement les ordinateurs déjà infectés par Mydoom.A en scannant le réseau et en utilisant la porte dérobée installée par Mydoom.A (comme peut le faire n'importe quel attaquant), mais cette variante est boguée et ne fonctionne pas correctement. Un utilitaire de désinfection gratuit est néanmoins déjà disponible contre Mydoom.B.
Bonc protéger vous et vous protègerez les autres en même temps.
Amicalement
>>
Evidemment, ce n'est pas pour Didier, F6BSW...
;)
<<
Bonjour
Pour ceux qui ne seraient pas encore au courant, un nouveau virus extrêment
virulent se propage depuis quelques jours. Il s'agit du virus "MyDoom"
(alias "Novarg", "Shimg", "Mimail.R"). Il faut absolument l'eradiquer au
plus vite et se rappeler de ne jamais cliquer sur une pièce jointe quand on
ne sait pas d'où elle vient.
Description (copier-coller du site SECUSER.COM) :
http://www.secuser.com/alertes/2004/novarg.htm
"Novarg est un virus qui se propage par email et KaZaA.
[...]
Il se présente sous la forme d'un message dont le titre,
le corps et le nom du fichier joint sont aléatoires.
Quelques titres de messages :
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error
[caractères aléatoires]
Le corps du message est variable, et incite à ouvrir
le fichier joint :
[rien]
The message cannot be represented in 7-bit ASCII encoding
and has been sent as a binary attachment.
The message contains Unicode characters and has been
sent as a binary attachment.
Mail transaction failed. Partial message is available.
test
La pièce jointe possède un nom aléatoire, une extension
en .BAT, .CMD, .EXE, .PIF, .SCR ou .ZIP et son icône est
celle d'un simple fichier texte :
doc.bat
document.zip
message.zip
readme.zip
text.pif
hello.cmd
body.scr
test.htm.pif
data.txt.exe
file.scr
[caractères aléatoires].exe
Si ce fichier est exécuté :
- le bloc-note Windows s'ouvre avec du texte aléatoire pour
faire diversion,
- le virus se copie dans le répertoire Système de Windows sous
le nom TASKMON.EXE
(un fichier système de Windows 95/98/Me porte le même nom :
il ne faut en aucun cas supprimer un fichier du seul fait de son
nom, mais confirmer l'infection avec un antivirus),
- modifie la base de registres pour s'exécuter automatiquement
à chaque démarrage de l'ordinateur,
- puis s'envoie aux correspondants dont les adresses figurent
dans le carnet d'adresses Windows ainsi que divers autres
fichiers (.adb, .tbb, .dbx, .asp, .php, .sht, .htm et .txt) en
utilisant une adresses choisie aléatoirement parmi celles
récoltées sur le disque dur ou en forgeant une fausse adresse.
- Novarg installe une backdoor SHIMGAPI.DLL dans le répertoire
Système qui autorise le téléchargement et l'exécution de
programmes hostiles ou la prise de contrôle à distance via le
port TCP 3127 à 3198, injecte cette DLL dans le fichier système
EXPLORER.EXE et le cas échéant se copie sous divers noms
aguicheurs dans le répertoire partagé via KaZaA :
winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004
- Le virus est enfin conçu pour charger la page d'accueil
du site Sco.com chaque seconde à partir du 01/02/04 pour
tenter de provoquer un déni de service, ainsi que pour ne
plus s'activer à partir du 12/02/04. Il ne devrait donc plus
se propager de manière massive à partir de cette date.
Ce virus est signalé par :
------------------------
Microsoft:
http://www.microsoft.com/security/antivirus/mydoom.asp
28/01/04 : une variante mineure Mydoom.B a été référencée par les éditeurs
d'antivirus, mais contrairement à ce qu'indiquent certaines sources aucune
propagation significative n'a été observée. Comme Mydoom.A, cette variante
tente de se faire passer pour un message d'erreur, mais elle se distingue
par une taille de fichier infectant plus importante (29.184 octets), sa
capacité à bloquer l'accès aux sites de Microsoft et des principaux éditeurs
d'antivirus, ainsi qu'à lancer une attaque contre le site Microsoft.com.
Mydoom.B est censé pouvoir infecter automatiquement les ordinateurs déjà
infectés par Mydoom.A en scannant le réseau et en utilisant la porte dérobée
installée par Mydoom.A (comme peut le faire n'importe quel attaquant), mais
cette variante est boguée et ne fonctionne pas correctement. Un utilitaire
de désinfection gratuit est néanmoins déjà disponible contre Mydoom.B.
Pour ceux qui ne seraient pas encore au courant, un nouveau virus extrêment virulent se propage depuis quelques jours. Il s'agit du virus "MyDoom" (alias "Novarg", "Shimg", "Mimail.R"). Il faut absolument l'eradiquer au plus vite et se rappeler de ne jamais cliquer sur une pièce jointe quand on ne sait pas d'où elle vient.
Description (copier-coller du site SECUSER.COM) : http://www.secuser.com/alertes/2004/novarg.htm "Novarg est un virus qui se propage par email et KaZaA. [...] Il se présente sous la forme d'un message dont le titre, le corps et le nom du fichier joint sont aléatoires. Quelques titres de messages : test hi hello Mail Delivery System Mail Transaction Failed Server Report Status Error [caractères aléatoires]
Le corps du message est variable, et incite à ouvrir le fichier joint : [rien] The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment. The message contains Unicode characters and has been sent as a binary attachment. Mail transaction failed. Partial message is available. test
La pièce jointe possède un nom aléatoire, une extension en .BAT, .CMD, .EXE, .PIF, .SCR ou .ZIP et son icône est celle d'un simple fichier texte : doc.bat document.zip message.zip readme.zip text.pif hello.cmd body.scr test.htm.pif data.txt.exe file.scr [caractères aléatoires].exe
Si ce fichier est exécuté : - le bloc-note Windows s'ouvre avec du texte aléatoire pour faire diversion, - le virus se copie dans le répertoire Système de Windows sous le nom TASKMON.EXE (un fichier système de Windows 95/98/Me porte le même nom : il ne faut en aucun cas supprimer un fichier du seul fait de son nom, mais confirmer l'infection avec un antivirus), - modifie la base de registres pour s'exécuter automatiquement à chaque démarrage de l'ordinateur, - puis s'envoie aux correspondants dont les adresses figurent dans le carnet d'adresses Windows ainsi que divers autres fichiers (.adb, .tbb, .dbx, .asp, .php, .sht, .htm et .txt) en utilisant une adresses choisie aléatoirement parmi celles récoltées sur le disque dur ou en forgeant une fausse adresse.
- Novarg installe une backdoor SHIMGAPI.DLL dans le répertoire Système qui autorise le téléchargement et l'exécution de programmes hostiles ou la prise de contrôle à distance via le port TCP 3127 à 3198, injecte cette DLL dans le fichier système EXPLORER.EXE et le cas échéant se copie sous divers noms aguicheurs dans le répertoire partagé via KaZaA : winamp5 icq2004-final activation_crack strip-girl-2.0bdcom_patches rootkitXP office_crack nuke2004
- Le virus est enfin conçu pour charger la page d'accueil du site Sco.com chaque seconde à partir du 01/02/04 pour tenter de provoquer un déni de service, ainsi que pour ne plus s'activer à partir du 12/02/04. Il ne devrait donc plus se propager de manière massive à partir de cette date.
Ce virus est signalé par : ------------------------ Microsoft: http://www.microsoft.com/security/antivirus/mydoom.asp
28/01/04 : une variante mineure Mydoom.B a été référencée par les éditeurs d'antivirus, mais contrairement à ce qu'indiquent certaines sources aucune propagation significative n'a été observée. Comme Mydoom.A, cette variante tente de se faire passer pour un message d'erreur, mais elle se distingue par une taille de fichier infectant plus importante (29.184 octets), sa capacité à bloquer l'accès aux sites de Microsoft et des principaux éditeurs d'antivirus, ainsi qu'à lancer une attaque contre le site Microsoft.com. Mydoom.B est censé pouvoir infecter automatiquement les ordinateurs déjà infectés par Mydoom.A en scannant le réseau et en utilisant la porte dérobée installée par Mydoom.A (comme peut le faire n'importe quel attaquant), mais cette variante est boguée et ne fonctionne pas correctement. Un utilitaire de désinfection gratuit est néanmoins déjà disponible contre Mydoom.B.
Il a du apprendre le mot mytho il y a quelques jours seulement.
Désolé, je ne me prends que pour ce que je suis, c'est à dire pas grand chose.
Tout le monde ne peut pas en dire autant...
Heureux le simple d'esprit.
F4TUG
Didier a exprimé avec précision :
F5PBG a écrit:
Mais oui, mais oui...
Oui, ca fait mal d'être confronté à la réalité. Je comprends.
ca fait du bien de voir que je ne suis pas seul a voir que PBG n'est un gros mytho, le pauvre et dire qu'il est sur de servir a qqch
L'essentiel, comme vous le dites si bien, c'est que l'info passe. Donc, je fais passer l'info. Et comme vous le dites si bien, envoyez moi un mail, je vous enverrai des infos sur /inforadio/F5PBG qui vous feront sourire
moi ca me fait pas rire, ca me désespère de voir autant de connerie dans un seul homme
-- http://cerbermail.com/?gk2oZMEFoC
Didier a exprimé avec précision :
F5PBG a écrit:
Mais oui, mais oui...
Oui, ca fait mal d'être confronté à la réalité. Je comprends.
ca fait du bien de voir que je ne suis pas seul a voir que PBG n'est un
gros mytho, le pauvre et dire qu'il est sur de servir a qqch
L'essentiel, comme vous le dites si bien, c'est que l'info passe. Donc, je
fais passer l'info. Et comme vous le dites si bien, envoyez moi un mail, je
vous enverrai des infos sur Lud@vic/inforadio/F5PBG qui vous feront sourire
moi ca me fait pas rire, ca me désespère de voir autant de connerie
dans un seul homme
Oui, ca fait mal d'être confronté à la réalité. Je comprends.
ca fait du bien de voir que je ne suis pas seul a voir que PBG n'est un gros mytho, le pauvre et dire qu'il est sur de servir a qqch
L'essentiel, comme vous le dites si bien, c'est que l'info passe. Donc, je fais passer l'info. Et comme vous le dites si bien, envoyez moi un mail, je vous enverrai des infos sur /inforadio/F5PBG qui vous feront sourire
moi ca me fait pas rire, ca me désespère de voir autant de connerie dans un seul homme
-- http://cerbermail.com/?gk2oZMEFoC
Dav
pour etre tranquille, il faut acheter un bon anti virus ! un vrai ! un bon firewall aussi, un vrai ! Les bons, ne se trouvent pas sur le net, enfin si, mais ne sont pas telechargeable meme en demo, d'ou l'efficacité
et bien penser a tout fermer, voir masquer ! c'est sur que si c'est mal utilisé ... ca va pas bien loin !!
Mon anti virus a retourné quelques virus a ses expediteurs !!! dont des mydoom ... des truc dans le genre, des script, des virus a la con ! ....
j'ai meme été supris de recevoir en reponse des gens etonnés de savoir leur PC verolé ! certains font en sorte que ca fonctionne a nouveau, et d'autre qui soutiennent !
faut chercher ! Comme j'ai expliqué a un Om ce matin, mon PC est bien gardé !
et qu'il fallait revoir les antivirus ! A savoir que les virus, ou troyens ou truc du meme bateau, n'arrivent pas QUE par mail !!!
Et oui ...
d'ou les port a verifier ! Adchao
Dav
pour etre tranquille, il faut acheter un bon anti virus ! un vrai !
un bon firewall aussi, un vrai !
Les bons, ne se trouvent pas sur le net, enfin si, mais ne sont pas
telechargeable meme en demo, d'ou l'efficacité
et bien penser a tout fermer, voir masquer !
c'est sur que si c'est mal utilisé ... ca va pas bien loin !!
Mon anti virus a retourné quelques virus a ses expediteurs !!!
dont des mydoom ... des truc dans le genre, des script, des virus a la con !
....
j'ai meme été supris de recevoir en reponse des gens etonnés de savoir leur
PC verolé !
certains font en sorte que ca fonctionne a nouveau, et d'autre qui
soutiennent !
faut chercher !
Comme j'ai expliqué a un Om ce matin, mon PC est bien gardé !
et qu'il fallait revoir les antivirus !
A savoir que les virus, ou troyens ou truc du meme bateau, n'arrivent pas
QUE par mail !!!
pour etre tranquille, il faut acheter un bon anti virus ! un vrai ! un bon firewall aussi, un vrai ! Les bons, ne se trouvent pas sur le net, enfin si, mais ne sont pas telechargeable meme en demo, d'ou l'efficacité
et bien penser a tout fermer, voir masquer ! c'est sur que si c'est mal utilisé ... ca va pas bien loin !!
Mon anti virus a retourné quelques virus a ses expediteurs !!! dont des mydoom ... des truc dans le genre, des script, des virus a la con ! ....
j'ai meme été supris de recevoir en reponse des gens etonnés de savoir leur PC verolé ! certains font en sorte que ca fonctionne a nouveau, et d'autre qui soutiennent !
faut chercher ! Comme j'ai expliqué a un Om ce matin, mon PC est bien gardé !
et qu'il fallait revoir les antivirus ! A savoir que les virus, ou troyens ou truc du meme bateau, n'arrivent pas QUE par mail !!!
Et oui ...
d'ou les port a verifier ! Adchao
Dav
F5PBG
Le Mon, 02 Feb 2004 12:23:34 +0100, F4TUG a ecrit:
moi ca me fait pas rire, ca me désespère de voir autant de connerie dans un seul homme
Venant de vous, c'est un compliment...
Le Mon, 02 Feb 2004 12:23:34 +0100, F4TUG <see.in.signature@for.nospam> a ecrit:
moi ca me fait pas rire, ca me désespère de voir autant de connerie
dans un seul homme
