référence : http://listes.cru.fr/arc/mascarene/2001-03/msg00002.html
     Chronologie       
     Conversation       

ALERTE AU VIRUS, ENVORE! BOURASSA ANDRE G



Le message qui précède, venant de Philippe Henri Lendru, serait ingecté,
selon le serveur Nordnet qui, pour une seconde fois, nous rend le service
de noujs avertir immédiatement. Détruisez-le! Mais je vous en prie, évitez
d'attacher des textes, si courts et aparemment innocents qu'ils soient. Si
le modérateur ouvre ses messages en mode terminal, comme ce fut le cas, il
n'est pas alerté de ce qui se trouve sur le serveuir Unix auquel il est
branché. Je vous envoie un mot d'explication que m'avait adressé notre ami
çmile Zeizig, informaticien de formation, sur le sujet. Il s'agissait
notamment de savoir qui avait lieu de s'inquiéter, pourquoi et que faire.
Considérons, si vous le voulez bien, que ce message est le dernier sur le
sujet. Bonne chance à tous, et faites vacciner votre appareil!
Amitiés, et mille regrets, André G. Bourassa.
--------------------------------------------
Message d'Émile Zeizig, suivi de la mise en garde de Nordnet:

Pour [...] donner quelques explications sur ce type de virus
(Il s'agit d'une famille...).

Ce virus ou plus précisément ce ver "worm" utilise une faille de certaines
versions de Microsoft Outlook Express sous Windows uniquement.
Le ver va arriver dans la signature d'un message sous forme d'un petit
bout de script (morceau de programme) contenu dans la définition invisible
de la page HTML de votre message.

Deux remarques :
- du temps ou l'on n'acceptait pas les fioritures des pages HTML et que
l'on se contentait de messages bruts, on éliminait ce type de problème,
sans compter qu'on divisait la taille des messages par 10... Mais c'était
moins joli ! - Il n'y a pas de fichier joint puisque le ver est dans le
fruit, c'est à dire dans le corps du message.

Ce script va installer un bout de programme xxxxxxxx.hta qui va devenir
actif APRES le prochain redémarrage de l'ordinateur et s'installer comme
complément de votre signature pour être expédié avec vos prochains
messages à la fin de tous vos textes.
Selon la variante, il fera plus ou moins de dégâts dans vos fichiers ou
vous sortira certains jours du mois un message avant de planter votre
machine par exemple "Kagou-Anti-Kro$oft says not today!" Ca ne s'invente
pas !

Celui que j'avais décortiqué, il y a quelques mois - pour l'avoir reçu
d'une copine ! - ne fonctionnait que sous Windows 95, 98  avec Microsoft
Outlook Express uniquement, mais pas sous NT car il n'adressait que le
dossier "Windows" et il ne porte pas ce nom sous NT4, une chance pour moi.
Aujourd'hui, Microsoft a corrigé Outlook express et propose pour ceux qui
auraient une version ancienne une correction, un "patch" référencé à
l'adresse suivante :
http://www.microsoft.com/technet/ie/tools/scrpteye.asp
Si vous avez été contaminé, (Recherchez si vous avez des fichiers *.hta)
il faut d'abord utiliser ce patch puis chercher des programmes ou des
procédures de corrections :
Sur le site de symantec (Norton) on trouve des corrections, mais il faut
connaître précisément la variante de Kak..  Je cite  "There are
differences between Wscript.KakWorm and the next major variant of this
worm, Wscript.KakWorm.B (note the "B"). The removal procedures are
different." Je vous donne l'adresse du site Norton et de la page concernée
http://www.symantec.com/avcenter/cgi-bin/vnsf.cgi

Les nouvelles versions de Norton (et je suppose celles des autres
fournisseurs d'Antivirus) protègent contre ces vers. En ce qui me concerne
j'ai reçu en même temps le message infecté, l'annonce par le modérateur de
l'arrivée du Virus - merci ! - et mon écran est devenu tout rouge avec
l'alerte à la bombe de Norton 2000 m'indiquant qu'il mettait en
quarantaine ce message...

Pour André, et l'équipe de Queatre, sachez que certains serveurs ont
intégré systématiquement la vérification de tous les messages avec une
mise à jour des définitions de virus automatique tous les jours... A voir
avec vos informaticiens, c'est pas gratuit bien sur...
et je reprends ma casquette théâtre...
Amitiés à tous
et je signe, sans virus je l'espère (je n'en suis jamais complètement
certain)...

Émile  Zeizig
zeizig@easynet.fr
Mascarille, le CD Rom du Théâtre

---------- Forwarded message ----------
From: root@pop-1.nordnet.fr
Subject: ALERTE: VIRUS DETECTE DANS UN MESSAGE ENVOYE PAR owner-queatre@uqam.ca


             A L E R T E   V I R U S


  Notre système de détection automatique anti-virus 
  a détecté un virus dans un message qui vous a été
  envoyé par  "ledru phl" <ledru.phl@wanadoo.fr>.

    La distribution de ce message a été stoppée.

  Veuillez vous rapprocher de l'émetteur  "ledru phl" <ledru.phl@wanadoo.fr> pour
  régler avec lui le problème.


		  ***********

	     V I R U S   A L E R T


  Our anti-virus system has detected a virus in an 
  email sent by  "ledru phl" <ledru.phl@wanadoo.fr>.

    We have stopped the delivery of this email.

  We invite you to contact  "ledru phl" <ledru.phl@wanadoo.fr>
  to solve the problem.









---------------------------------------------------------------queatre-+
_______________________________________________________________________________

>>> Pour être retiré de cette liste d'envois,

écrire à:   listproc@uqam.ca

    avec comme seule ligne de message:

unsubscribe QUEATRE


Note: la commande doit apparaître dans le corps du message, 
      NON PAS dans le Sujet.
---------------------------------------------------------------queatre--