| Auteur |
Message |
fifi©
Membre hyperactif
Inscrit le 15 juin 2001
Membre n° 61
Ardennes
|  Posté le : 14 sept 2002 à 8:39
bjr
mon antivirus à mis ce virus en quarantaine
W32.Datom.Worm
est il courant et je voulais savoir quelles dégats il pouvait occasionner?
Philippe
|
eser
Membre hyperactif
Inscrit le 24 déc 2001
Membre n° 1556
Toujours dans la Lune...
| Posté le : 14 sept 2002 à 8:49
Salut fifi
Apparemment c'est une variante.
Regarde par là: ICI
Et là: http://www.sophos.fr/virusinfo/analyses/w32datoma.html
@ plus
|
fifi©
Membre hyperactif
Inscrit le 15 juin 2001
Membre n° 61
Ardennes
| Posté le : 14 sept 2002 à 8:56
merci Eser
j'espére que l'action de Norton antivrus est suffisante !
Philippe
|
Titus
Modérateur
Inscrit le 1 juin 2001
Membre n° 16
Bruxelles
| Posté le : 14 sept 2002 à 11:52
Salut,
Ne t'en fais pas, si Norton l'a mis en quarantaine, son affaire est réglée.
|
fifi©
Membre hyperactif
Inscrit le 15 juin 2001
Membre n° 61
Ardennes
| Posté le : 14 sept 2002 à 12:47
merci Titus
et je vais de ce pas effacer tout ce qui est en quarantaine on ne sait jamais!
Philippe
|
eser
Membre hyperactif
Inscrit le 24 déc 2001
Membre n° 1556
Toujours dans la Lune...
| Posté le : 15 sept 2002 à 13:24
Salut fifi !
Petit complément d'info...
Source: Bit Defender / virusinfos.net
<<
Win32.Worm.Datom.A
Alias: /
10/07/02
Cible: /
Type de virus : Ver executable
Risque : Moyen
Caractéristiques: Ver executable
Description:
Symptômes:
- fichiers MSVXD.EXE, MSVXD16.DLL et MSVXD32.DLL dans un sous-dossier Windows (voir details techniques ci-dessous) ou un dossier partagé;
- l'entrée de régistres HKLM\Software\Microsoft\CurrentVersion\Run\MSVXD (utilisant REGEDIT avec Windows en Safe Mode).
Description technique:
Win32.Worm.Datom.A est un nouveau ver de messagerie qui utilise les dossiers partagés du réseau local pour se propager. Il est composé de tros parties: MSVXD.EXE, MSVXD16.DLL et MSVXD32.DLL, créees avec Borland C++. Toutes les rangées de caractères rélevants sont cryptées et stockées dans les fichiers virus, afin d'éviter le désassemblage; le virus utilise aussi des trucs anti-déboguage.
Selon la situation, s'il est exécuté avec l'argument "1632", le premier composant du virus (MSVXD.EXE) essaie de copier le virus dans un des sous-dossiers suivants du dossier Windows:
- Profiles\All Users\Start Menu\Programs\StartUp;
- Documents and Settings\All Users\Start Menu\Programs\StartUp;
- Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage;
- Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica.
MSVXD.EXE est aussi responsable d'essayer de modifier le fichier WIN.INI afin d'exécuter le virus au démarrage et de lancer le deuxième composant, MSVXD16.DLL.
MSVXD16.DLL crée l'entrée régistres HKLM\Software\Microsoft\Windows\CurrentVersion\Run\MSVXD afin d'exécuter MSVXD.EXE (avec l'argument "1632") a chaque démarrage Windows, et installe une procédure de type "hook" qui surveille les essais d'exécution de REGEDIT ou MSCONFIG; si une des deux est exécutée, l'entrée malicieuse de régistres est cachée pour l'utilisateur par une astuce inedite (ce comportement est aussi présent pour le troisième composant.) Mis à part ces actions, MSVXD16.DLL lance aussi MSVXD32.DLL.
Quand le troisième composant du virus (MSVXD32.DLL) est chargé, il crée 4 files d'exécution:
- la première surveille l'exécution de REGEDIT et MSCONFIG (tout comme MSVXD16.DLL) et aussi des copies de virus dans les fichiers temporaires (nommés TMP_V_00.TMP, etc);
- La deuxième arrête l'exécution de Zone Alarm s'il est en fonction, et essaie de se connecter au site www.microsoft.com
- la troisième essaie de faire des copies des composants virus dans les dossiers partagés des ordinateurs du réseau;
- la quatrième essaie de changer la valeur de l'entrée par défaut dans la clef de régistres HKCR\.html\Shell\Open\Command, modifiant l'application qui ouvre les fichiers .html.
Désinfection manuelle:
Redémarrez Windows en Safe Mode (si possible) et éliminez l'entrée régistres HKLM\Software\Microsoft\CurrentVersion\Run\MSVXD utilisant REGEDIT; effacez tous les fichiers MSVXD.EXE, MSVXD16.DLL et MSVXD32.DLL ayant la taille mentionnée ci-dessus.
>>
|
fifi©
Membre hyperactif
Inscrit le 15 juin 2001
Membre n° 61
Ardennes
| Posté le : 15 sept 2002 à 15:18
bjr Eser
je n'ai aucune trace de ce que tu m'indique donc Norton avait bien réglé le probléme me voila rassuré 
Merci donc
Philippe
|
|
|
Besoin d'aide pour créer votre site Web ! Consultez le forum BLINCKERS© Groups - 
Archive des forums Informatique Pratique - En mode CONSULTATION uniquement 
