Virus Nimda A

Symptomes Destruction Utilitaire Retour

Symptomes

Détection :

Détecté par Sophos Anti-Virus depuis décembre 2000.


Description :

W32/Hybris-B est un ver capable de mettre à jour ses fonctionnalités par Internet.

Il est composé d´une partie de base et un ensemble de composants qui peuvent être mis à jour. Les composants sont stockés dans le corps du virus fortement crypté par une cryptographie 128-bit.

Exécuté, le ver infecte WSOCK32.DLL. Lorsqu´un e-mail est envoyé, le ver essaie d´envoyer, au même destinataire, une copie par pièce jointe dans un autre message.

N´importe quel autre comportement de ce ver est entièrement dépendant de l´ensemble des composants installés. Les effets des composants connus par Sophos au moment de l´écriture de cette analyse sont décrits ci-dessous.

Le texte du message e-mail est déterminé par l´un des composants installés, pouvant donc être changé en mettant à jour le mécanisme détaillé ci-dessous.

En conséquence, le message peut avoir n´importe quel sujet, n´importe quel texte et nom de fichier pour la pièce jointe.

Un composant commun au ver vérifie les paramètres de la langue de l´ordinateur qu´il a infecté et sélectionne un message selon celle-ci :

Anglais
Sujet :
Snowhite and the Seven Dwarfs - The REAL story!

Texte du message :
polite with Snowhite. When they go out work at mornign, they promissed a *huge* surprise. Snowhite was anxious. Suddlently, the door open, and the Seven Dwarfs enter...

Français
Sujet :
aidé ´blanche neige´ toutes ces années après qu´elle se soit enfuit de chez

Texte du message :
sa belle mère, lui avaient promis une *grosse* surprise. A 5 heures comme toujours, ils sont rentrés du travail. Mais cette fois ils avaient un air coquin...

Portugais
Sujet :
muito feliz e ansiosa, porque os 7 anões prometeram uma *grande* surpresa.

Texte du message :
As cinco horas, os anõezinhos voltaram do trabalho. Mas algo nao estava bem... Os sete anõezinhos tinham um estranho brilho no olhar...

Espagnol
Sujet :
siempre muy bien cuidada por los enanitos. Ellos le prometieron una *grande*

Texte du message :
sorpresa para su fiesta de compleaños. Al entardecer, llegaron. Tenian un brillo incomun en los ojos...

Les méthodes de mise à jour du ver peuvent aussi être changées car elles peuvent, elles aussi, être mises à jour. Au moment de l´écriture de cette analyse, deux méthodes ont été vues.

L´une des techniques de mise à jour essaie de télécharger les compossants cryptés à partir d´un site web qui est sûrement maintenu l´auteur du ver. Ce site web a depuis été fermé. Cependant, ce composant peut être mis à jour pour qu´il utilise des adresses web différentes.

L´autre méthode implique la mise à disposition de ses plug-ins actuels dans le forum de discussion alt.comp.virus et de les mettre à jour à partir d´autres messages par d´autres infections du ver. Ils sont encore sous une forme cryptée et ont un en-tête qui a un identifiant de quatre caractères et un numéro de version sur quatre caractères, de façon à ce que le ver sache quels plug-ins installer.

Un autre composant du ver cherche sur le PC les fichiers archive .ZIP et .RAR. Lorsque le ver trouve un de ces fichiers, il recherche un fichier .EXE à l´intérieur de l´archive, qu´il renomme en .EX$, puis ajoute une copie de lui-même dans l´archive en utilisant le nom de fichier original.

Il existe un composant "charge", qui, le 24 septembre de n´importe quelle année ou 1 minute après l´heure de n´importe quel jour de l´an 2001, affiche une grande spirale animée au milieu de l´écran qui est difficile à fermer.


Symptomes Destruction Utilitaire Retour

Destruction

Vous avez été infecté par le Virus Nimda A.

Vous trouverez dans le fichier exécutable pour supprimer le Virus Nimda B en cliquant sur le lien utilitaire.

Une fois le téléchargement terminé, double cliquer sur le fichier.


Cliquez sur le bouton « OK »

L’écran suivant apparaît :

Cliquez sur le bouton « Unzip »


Les deux fichiers suivants sont décompressés


Cliquer sur le bouton « Ok » et fermer la fenêtre de décompression du fichier en cliquant sur « Close ».

La décompression terminée, il faut relancer le poste de travail en mode Ms dos.

Cliquez sur « démarrer » , « arrêter » et choisir redémarrer en mode Ms dos.

Saisir les commandes suivantes :

CD.. et appuyer sur la touche « Entrée »

CD SOPHTEMP et appuyer sur la touche « Entrée »

Puis saisir la commande suivante :

Puis saisir la commande suivante :
SWBADTRB –NOC –LF=SAV.LOG C :

Le programme de désinfection s’exécute .

Un fichier Sav.log est crée pour enregistrer les manipulations qui ont été exécutées sur le poste de travail.

Symptomes Destruction Utilitaire Retour

Utilitaire

Fichier à télécharger : nimda

Symptomes Destruction Utilitaire Retour