Symptomes
Détection :
Détecté par Sophos Anti-Virus depuis décembre 2000.
Description :
W32/Hybris-B est un ver capable de mettre à jour ses fonctionnalités par Internet.Il est composé d´une partie de base et un ensemble de composants qui peuvent être mis à jour. Les composants sont stockés dans le corps du virus fortement crypté par une cryptographie 128-bit.
Exécuté, le ver infecte WSOCK32.DLL. Lorsqu´un e-mail est envoyé, le ver essaie d´envoyer, au même destinataire, une copie par pièce jointe dans un autre message.
N´importe quel autre comportement de ce ver est entièrement dépendant de l´ensemble des composants installés. Les effets des composants connus par Sophos au moment de l´écriture de cette analyse sont décrits ci-dessous.
Le texte du message e-mail est déterminé par l´un des composants installés, pouvant donc être changé en mettant à jour le mécanisme détaillé ci-dessous.
En conséquence, le message peut avoir n´importe quel sujet, n´importe quel texte et nom de fichier pour la pièce jointe.
Un composant commun au ver vérifie les paramètres de la langue de l´ordinateur qu´il a infecté et sélectionne un message selon celle-ci :
Anglais
Sujet :
Snowhite and the Seven Dwarfs - The REAL story!Texte du message :
polite with Snowhite. When they go out work at mornign, they promissed a *huge* surprise. Snowhite was anxious. Suddlently, the door open, and the Seven Dwarfs enter...Français
Sujet :
aidé ´blanche neige´ toutes ces années après qu´elle se soit enfuit de chezTexte du message :
sa belle mère, lui avaient promis une *grosse* surprise. A 5 heures comme toujours, ils sont rentrés du travail. Mais cette fois ils avaient un air coquin...
Portugais
Sujet :
muito feliz e ansiosa, porque os 7 anões prometeram uma *grande* surpresa.Texte du message :
As cinco horas, os anõezinhos voltaram do trabalho. Mas algo nao estava bem... Os sete anõezinhos tinham um estranho brilho no olhar...Espagnol
Sujet :
siempre muy bien cuidada por los enanitos. Ellos le prometieron una *grande*Texte du message :
sorpresa para su fiesta de compleaños. Al entardecer, llegaron. Tenian un brillo incomun en los ojos...Les méthodes de mise à jour du ver peuvent aussi être changées car elles peuvent, elles aussi, être mises à jour. Au moment de l´écriture de cette analyse, deux méthodes ont été vues.
L´une des techniques de mise à jour essaie de télécharger les compossants cryptés à partir d´un site web qui est sûrement maintenu l´auteur du ver. Ce site web a depuis été fermé. Cependant, ce composant peut être mis à jour pour qu´il utilise des adresses web différentes.
L´autre méthode implique la mise à disposition de ses plug-ins actuels dans le forum de discussion alt.comp.virus et de les mettre à jour à partir d´autres messages par d´autres infections du ver. Ils sont encore sous une forme cryptée et ont un en-tête qui a un identifiant de quatre caractères et un numéro de version sur quatre caractères, de façon à ce que le ver sache quels plug-ins installer.
Un autre composant du ver cherche sur le PC les fichiers archive .ZIP et .RAR. Lorsque le ver trouve un de ces fichiers, il recherche un fichier .EXE à l´intérieur de l´archive, qu´il renomme en .EX$, puis ajoute une copie de lui-même dans l´archive en utilisant le nom de fichier original.
Il existe un composant "charge", qui, le 24 septembre de n´importe quelle année ou 1 minute après l´heure de n´importe quel jour de l´an 2001, affiche une grande spirale animée au milieu de l´écran qui est difficile à fermer.
Symptomes Destruction Utilitaire Retour
Vous avez été infecté par le Virus Nimda A.Vous trouverez dans le fichier exécutable pour supprimer le Virus Nimda B en cliquant sur le lien utilitaire.
Une fois le téléchargement terminé, double cliquer sur le fichier.
Cliquez sur le bouton « OK »
L’écran suivant apparaît :
Cliquez sur le bouton « Unzip »
Les deux fichiers suivants sont décompressés
Cliquer sur le bouton « Ok » et fermer la fenêtre de décompression du fichier en cliquant sur « Close ».
La décompression terminée, il faut relancer le poste de travail en mode Ms dos.
Cliquez sur « démarrer » , « arrêter » et choisir redémarrer en mode Ms dos.
Saisir les commandes suivantes :
CD.. et appuyer sur la touche « Entrée »
CD SOPHTEMP et appuyer sur la touche « Entrée »
Puis saisir la commande suivante :
Puis saisir la commande suivante :
SWBADTRB –NOC –LF=SAV.LOG C :
Le programme de désinfection s’exécute .
Un fichier Sav.log est crée pour enregistrer les manipulations qui ont été exécutées sur le poste de travail.
Symptomes Destruction Utilitaire Retour
Utilitaire
Fichier à télécharger : nimda
Symptomes Destruction Utilitaire Retour