Top 10 des virus informatique

Top 10 des virus informatique


Mydoom.A alias Novarg.A
Virus Xabot
Virus Mimail.E
Nouveau - l antivirus AOL
Virus Cult.B alias Lanet
Virus Vote.D alias HLLW.Der
Virus CodeRed F alias CodeRed.v3 CodeRed III Bady.C
Virus SQLExp SQL Slammer responsable du ralentissement
Virus Lirva alias Avril.A Lirva.b Lirva.a Avron.c
Virus Warray

T'as pas dit il s' agit de top10 de quel date !!!!

NB: Des miliers de virus apparaissent chaque jour!!!

On tout cas vous pouvez voter pour votre virus favoris au 001101000010

Bon chance

Oui t'as raison, j'ai pas fai attention a la date, je suis désolé.
Mais cette liste et contien des Top 10 des virus les plus virulents.
Et pour corigé la faute ke jé comi, j'ai préparer ces informations sur si virus.
1. Mydoom.A alias Novarg.A

W32.Mydoom.A@mm (également connu sous le nom de W32.Novarg.A) est un virus qui se propage par email et arrive en fichier joint .bat, .cmd, .exe, .pif, .scr, ou .zip.
Quand un ordinateur est infecté, le ver installe une backdoor dans le système via les ports TCP 3127 à 3198, qui peuvent potentiellement permettre à un attaquant de se relier à l'ordinateur et de l'employer pour accéder à ses ressources.
De plus, il peut télécharger des fichiers et les éxécuter.

Il y a 25% de chance qu'un ordinateur infecté par le virus exécute un déni de service (DOS) le 1er février 2004 à 16:09:18, basé sur la date/heure local du système de la machine. Il y a également une date d'arrêt de l'attaque le 12 février 2004. Tandis que le ver s'arrêtera le 12 février 2004, le backdoor continuera à fonctionner après cette date.

Ce virus est également connu sous les noms W32.Novarg.A@mm, W32/Mydoom@MM, WORM_mimail.r, Win32.Mydoom.A, W32/Mydoom-A, I-Worm.Novarg

Quand W32.Mydoom.A@mm est exécuté, il fait ce qui suit:

Crée les dossiers suivants:

%System%Shimgapi.dll: Shimgapi.dll agit en tant que proxy server, ouvrant des ports TCP de 3127 à 3198. Le backdoor a également la capacité de télécharger et exécuter des fichiers.
%Temp%Message: Ce dossier contient les mails aléatoires.
%System%Taskmon.exe.

Ajoute la valeur:

"(défaut)" =" %System%shimgapi.dll "
à la clef de registre:
HKEY_CLASSES_ROOTCLSID{E6FBË20-DE35-1ÇF-9C87-00AA005127ED}InProcServer32
de sorte qu'Explorer.exe charge Shimgapi.dll.

Ajoute la valeur:

"TaskMon" = "%System% askmon.exe"
aux clefs de registre:
HKEY_CURRENT_USERSoftwareMicrosftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
de sorte que TaskMon soit éxécuté lorsque Windows démarre.

Vérifie la date du système, et si la date est entre le 1er février 2004 et le 12 février 2004, il y a une chance sur 4 que le virus effectuer une attaque DOS contre www.sco.com. Le DOS est exécuté en créant 63 nouveaux threads qui envoient des commandes GET au port 80. Le ver ne se propagera pas par mail si l'attaque de DOS est déclenchée.

Crée les clefs suivantes:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion ExplorerComDlg32Version
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion ExplorerComDlg32Version
Recherches des adresses email dans les fichiers de type:
htm
sht
php
asp
dbx
tbb
adb
pl
wab
txt

Tentatives d'envoyer des messages mail à l'aide de son propre moteur smtp. Le virus recherche le server mail que le destinataire emploie avant d'envoyer l'email. L'email aura les caractéristiques suivantes:

De: "" peut être spoofed.

Objet: Le sujet sera l'un de ce qui suit:

test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error

Message: Le message sera l'un de ce qui suit:

Mail transaction failed. Partial message is available.
The message contains Unicode characters and has been sent as a binary attachment.
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
test

Fichier Joint:

document
readme
Doc.
texte
dossier
données
essai
message
corps

Ensuite il se Copie lui-même dans le dosier de téléchargement de Kazaa en tant que:

winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004

Pour désinfecter .Novarg.A@mm, W32/Mydoom@MM, WORM_mimail.r, Win32.Mydoom.A, W32/Mydoom-A, I-Worm.Novarg :

Désactiver la restauration système pour Windows Me/XP.
Mettre à jour son anti-virus.
Redémarrer votre ordinateur en mode sans échec.
Scanner tous vos disques et supprimer tous les fichiers détectés infectés par .Novarg.A@mm, W32/Mydoom@MM, WORM_mimail.r, Win32.Mydoom.A, W32/Mydoom-A, I-Worm.Novarg
Supprimer les valeurs ajoutées à la base de registre
Cliquer sur Démarrer puis Exécuter.
Taper: regsvr32 webcheck.dll
Cliquer sur OK. Le message, "DllRegisterServer in webcheck.dll succeeded," apparait, cliquer sur OK.

2. Virus Xabot

Xabot est un ver qui essaye de se propager par Irc et peer-to-peer. Il possede aussi des fonctionnalités indetiques à un trojan, permettant de prendre controle d'un pc infecté à distance. L'existence du dossier wininit32.exe est une indication d'une infection possible.
Quand W32.Xabot.Worm est exécuté, il fait ce qui suit:
se copie dans %System%wininit32.exe.

se copie lui même aux dossiers suivants:
dossier partagée dans KaZaA
mondossier partagée dans Morpheus
dossier DownloadsLocation dans iMesh
Program FileseDonkey2000incoming
Program FilesLimWireShared
dossier musique
comme fichier suivants:
Doom 3 NO CD Crack.exe
Half-Life 2 Keygen.exe
Half-Life 2 NO CD Crack.exe
Jedi Academy NO CD Crack.exe
Max Payne 2 NO CD Crack.exe
Medal Of Honor - Pacific Assault NO CD Crack.exe

Ajoute les valeurs:
"AllOrNone"="1"
"IncludeKernelFaults"="1"
"IncludeMicrosoftApps"="1"
"IncludeWIndowsApps"="1"
"ShowUI"="0"
"DoReport"="0"
à la clef de registre:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftPCHealthErrorReporing

Ajoute la valeur:
"SysInit"="wininit32.exe"
aux clefs de registre:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion RunOnce
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion RunServices
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersion RunOnce
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun

Ajoute la valeur:
"StubPath"="wininit32.exe"
à la clef de registre:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsActive SetupInstalled ComponentsSysInit
Ajoute la valeur:
"LastMonth"="%MonthOfTheYear%"
à la clef de registre:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsConnect

Ajoute la valeur:
"DisableRegistryTools"="1"
à la clef de registre:
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersion PoliciesSystem

Ajoute la valeur:
"DisallowRun"="1"
à la clef de registre:
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersion PoliciesExplorer

Ajoute les valeurs:
"1"="lockdown.exe"
"2"="vsmain.exe"
"3"="msconfig.exe"
"4"="zonealarm.exe"
"5"="zapro.exe"
"6"="blackd.exe"
"7"="blackice.exe"
"8"="processmonitor.exe"
"9"="pmon.exe"
"10"="smc.exe"
"11"="generics.exe"
"12"="netstat.exe"
"13"="ethereal.exe"
"14"="sniffem.exe"
"15"="monitor.exe"
"16"="lockdown2000.exe" "17"="webtrap.exe"
"18"="programauditor.exe"
"19"="sniffem.exe"
"20"="jammer.exe"
"21"="ldnetmon.exe"
"22"="safeweb.exe"
"23"="realmon.exe"
"24"="guw32.exe"
"25"="regmon.exe"
"26"="netmon.exe"
"27"="portmon.exe"
"28"="filemon.exe"
"29"="scan32.exe"
à la clef de registre: HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersion PoliciesExplorerDisallowRun
Ajoute les clefs de registre:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun-
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion RunServices-
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun-

Supprime les valeurs suivantes:
"Configuration Loader"
"Update"
"WinUpdate"
"Task Manager"
"Windows API Structure"
"Microsoft Diagnostic"
"3Dfx Acc"
"ABsr"
"adp"
"Advapi"
"AIM reminder"
"Alevir"
"Alogserv"
"Amon"
"AnVir"
"Apvxd"
"Apvxdwin"
"ausvc"
"Avast32"
"AvconsoleEXE"
"Avgserv9.exe"
"AvMaiSrv"
"avpcc"
"avx communicator"
"avxlni"
"awhost32"
"Backwork"
"bargains"
"bitdefenderlive"
"BlackIce Utility"
"BMail Installation"
"Bnexe"
"BOCleanautostart"
"Configuration Manager"
"dlder"
"Vet Alert"
"ExplorerTask"
"Bonzi Buddy"
"boot"
"Bymer.Scanner"
"cAgOu"
"CC2KUI"
"Choke"
"CLICKTHEBUTTON"
"CmeSYS"
"CmeUPD"
"msnb"
"Configuration Wizard"
"CoreSrv"
"CyDoor"
"Debug"
"distributed.net client"
"LangSupportEx"
"DownloadWare"
"Dvp95"
"Eac_Cnry"
"eixfi"
"Element"
"Explorer32"
"F-StopW"
"Gator"
"Vet Start UpHookSys"
"I386"
"Kernell32"
"Kernel32"
"LoadBlackD"
"LoadDBackUp"
"LoadFonts"
"LoadOrderVerification"
"LTM2"
"McAfee Firewall"
"McAfeeVirusScanService" "mnsvc"
"MPFExe"
"MprHTML"
"MSAdmin"
"WinUpdatermsdos423"
"MSKernel32"
"msn"
"Msrc"
"MSREGIT"
"Ms Spool32"
"Mswincfg"
"murphy shield"
"Default"
"MxHLp32"
"Myapp"
"NAV Agent"
"navapw32"
"NAV Configuration Wizard"
"NAV DefAlert"
"Netapi"
"Nod32CC"
"Norton Auto-Protect"
"ogrc"
"PAV.EXE"
"PCStart"
"PersFw"
"PPMemCheck"
"procmon"
"RapApp"
"TaskMan"
"rvds"
"rdvs"
"Registry"
"Run_cd"
"Rundllsystem32"
"RunProg"
"ScanInicio"
"ScrSvr"
"VAGuard"
"server"
"serverex"
"Shellapi32"
"sistrai.exe"
"sistray"
"SyncAgent"
"SysProtect"
"SysScan"
"Explorer"
"SystemBoot"
"SystemFTP"
"SystemMD"
"System Monitor"
"SystemReg"
"System-Service"
"Task Bar"
"TaskReg"
"Taskschd"
"Tau monitor"
"tcactive"
"tcmonitor"
"Tiny Personal Firewall"
"TrojanScanner"
"UMXLDRW"
"vscanner"
"Vshwin32EXE"
"VsStatEXE"
"WebScan"
"WebScanX"
"Webtrap"
"Whvlxd"
"Win32BaseServiceMOD"
"Win32DLL"
"Win32 Rundll Loader"
"Win386"
"Winahlp.exe"
"WIN-BUGSFIX"
"Windows"
"WinDSNX"
"WinLoader"
"WinProfile"
"WinProxy"
"Win Server"
"winserver"
"Win Server Updt"
"Winsvc32"
"Winsys"
"WinSystem"
"WQK"
"Zonavirus"
"ZoneAlarm"
"ZoneAlarm Pro"
"vsmon"
"vsmon.exe"
"zzgshp"
"WinHelp"
"WinGate initialize"
"Program In Windows"
"Remote Procedure Call Locator"
"WinDSNX"
"Windows Subsys"
"msconfigurator"
"ps2"
"cmd"
"Supernova"
"WindowsMGM"
"NeroCheck"
"LoadWinConf"
"messnger"
"explore"
"FuckCop"
"InternetConfigure"
"Api"
"Svhost Loader"
"Gforce4DRv"
"Ccapp"
"Ccevtmgr"
"Ccpxysvc"
"Ccregvfy"
"Cd_load"
"Cmesys"
"Cmgrdian"
"Comsocks"
"Cpdclnt"
"Cpd"
"Absr"
"Adservice"
"Aornum"
"Arupld32"
"Atrack"
"wins"
"fSys"
"rundll"
"rundll32"
"Network Connections"
"NTFix"
"System Service"
"windows update"
"WinConfig"
"print sharing"
"WindowsUpdate"
"Loader"
"GForce4DR"
"Microsoft System Monitor"
"Windows Registry Checker"
"WindowsFix32"
"winupd32.exe"
"CriticalUpdate"
"Wininit"
"LoadWinConf"
"vhostl"
"Svhost Loader"
"GForce4DRv"
"ssdpsrv.exe"
"ssdpsvr.exe"
"System Service"
"WindowsUpdate"
"Internat32.exe"
"Winsock2 driverSysCmd"
"NTsocket"
"updatek"
"webiss"
"explorer"
"systemtray"
"systemtray32"
"SystemTray32"
"systray"
"SysTray"
"SysTray32"
"GhostStartTrayApp"
"SymTray - Norton SystemWorks"
"fuckyou"
"WinFix32.exe"
"vptray"
"SystemUpdate"
"Microsoft Configuration"
"WinApp32"
"SVHOST"
"PrinTray"
"tskdbg"
"CMESys"
"CMD"
"WINTASK"
"TaskMonitor"
"winapidr"
"Com+Services"
"System Configuration"
"WIN32 DEBUG"
"poeto."
"NAV Live Update"
"Windows Explorer"
"config32.exe"
"Pop3trap.exe"
"WebTrapNT.exe"
"TrackPointSrv"
"Microsoft Netview"
"Generic Host Process for Win32 Services"...
"AdobeA"
"win32app"
"Explorer de la dc"
"ColdLife - icmp"
"ColdLife ?icmp"
"NT Guard"
"Sustem"
"updateWin"
"Winsock32 driver"
"windows auto update"
des clefs de registre:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion RunOnce
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion RunServices
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersion RunOnce
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun

Essaye de supprimer les dossiers suivants du dossier Systeme:
syscfg32.exe
cnfgldr.exe
sysmon16.exe
tskmgr32.exe
winsys.exe
tskman.exe
taskmrg.exe
win.exe
syslog.exe
msgsrv.exe
msnb.exe
TCPSVS32.exe
NAV32_loader.exe
winservices.exe
RAVMOND.exe
WinHelp.exe
IEXPLORE.exe

Essaye de supprimer les fichiers de windows:
temp\r.bat
Hello-Kitty.exe
BigMac.exe
WINMGM32.exe
SNTMLS.dat
DWN.dat
SNTMLS.dat
fonts\explorer.exe
fonts\rundll32.exelitmus\winup.exe
litmus\MSGSRV320.exe
litmus\MSGORV32.exe
litmus\msgsrv32.exe
litmus\killer.exe
DIRECX.dll
mirc.exe
mirc32.exe
temp.exe
temp2.exe
explore.exe
psexec.exe
rconnect.exe
whvlxd.exe
iiscache.dll
vbrun7.dll
mirc.ini
mirc2.ini
mirc3.ini
script.ini
auth.ini
settings.ini
pr.ini
whvlxd.dat
fdrive.dat
gates.txt
temp.scr
Winnt32.nfo
remote.ini

Emploie son propre client du Internet Relay Chat (IRC) pour se relier à un canal.

Pour se désinfecter:
Pour XP/2000: désactiver le systeme de sauvegarde.
restaurer votre registre depuis une sauvegarde non infectée ou bien inverser les modifications faite au registre par le virus.
Redemarrer.
Mettre à jour votre anti-virus.
Scanner l'integralité de vos disques avec vontre antivirus.
Supprimer tous les fichiers détectés infectés par un virus.

3. Virus Mimail.E
Mimail.E est un virus qui se propage par mail dont le titre est "don't be late!", accompagné d'un fichier joint READNOW.ZIP.
Lorsqu'il est exécuté, le virus s'envoit a tous les contacts de votre carnet d'adresse windows puis lance une attaque DoS (déni de service) contre différents sites anti-spam.

Mimail.E est une variante du virus Mimail.C.
L'adresse d'expéditeur du message infecté est john@[nom de domaine], le nom de domaine étant le même que le nom de domaine de l'adresse email du destinataire. (exemple: si votre email est virus@wanadoo.fr, alors l'expéditeur apparaitra comme etant john@wanadoo.fr. Donc ne vous en prenez pas à john, il n'y est pour rien...!).


Si le virus est éxécuter:
Il se copie dans votre dossier windows en tant que sysload32.exe.
Il ajoute la valeur:
SystemLoad32" = "%Windir%sysload32.exe
a la clé de registre:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
Tous les emails qu'il trouve sont dans le fichier %Windir%eml.tmp.
Ensuite, il recherche votre connection internet en appelant le site de google.com.
Puis il envoit le meme email que vous avez reçu à tous les emails qu'il a trouvé sur votre pc (récupérées dans tous les fichiers autres que .avi, .bmp, .cab, .com, .dll, .exe, .gif, .jpg, .mp3, .mpg, .ocx, .pdf, .psd, .rar, .tif, .vxd, .wav et .zip)
Enfin, il lance une attaque DoS contre les sites mysupersales.com www.mysupersales.com.
.
Il crée 2 fichiers:
Zip.tmp: copie temporaire de readnow.zip (10,912 bytes). Exe.tmp: copie temporaire de readnow.doc.scr (10,784 bytes).

Pour se désinfecter:
Désactiver la restauration automatique (pour Me/xp).
Mettre a jour son antivirus.
Redemarez en mode dos pour 95/98/Me.
fermer le processus du virsu sous xp/2000
Scanner vos disques durs et supprimer tous les fichiers détectés infectés par mimail.e
Supprimer la valeur ajouté au registre.


Nouveau - l antivirus AOL

Afin d'améliorer la sécurité de vos e-mails, AOL vient de mettre en place une nouvelle fonctionnalité : l'antivirus.
Tous les fichiers joints aux e-mails que vous envoyez ou recevez sur AOL ou AOL Mail, sont désormais systématiquement analysés par l'antivirus. Si l'un de vos fichiers contient un virus, AOL vous prévient et le nettoie .

cette fonctionnalité est entièrement gratuite et ne nécessite aucun paramétrage. Les mises à jour de l'antivirus sont assurées automatiquement par AOL.

AOL analyse vos e-mails et vérifie automatiquement si tous les fichiers joints envoyés ou reçus via le logiciel AOL ou AOL Mail (accessible sur www.aol.fr) présentent des risques d'infection.
source: AOL


Virus Cult.B alias LanetCult.B est un ver qui utilise son propre moteur de smtp pour se propager. Les destinataires de l'email sont construits aléatoirement d'une liste de nom et d'un domaine choisi. Cult.B essaye également de se propager en utilisant le réseau de partage de KaZaA. De plus, le ver permet une prise de controle à distance du PC infecté.
Le message d'email a les caractéristiques suivantes:

Sujet: Hi, I sent you an eCard from BlueMountain.com
Message:
To view your eCard, open the attachment If you have any comments or questions, please visit http:/ /www.bluemountain.com/customer/index.pd
Thanks for using BlueMountain.com.
Attachement: BlueMountaineCard.pif

Quand il fonctionne, il fait ce qui suit:

1. Se Copie lui-même comme %System%Wuauqmr.exe. L'attribut de ce dossier est placé à caché.
NOTE: %System% est une variable. Le ver localise la dossier système et se copie à cet endroit. Par défaut, c'est C:WindowsSystem (Windows 95/98/Me), C:WinntSystem32 (Windows NT/2000), ou C:WindowsSystem32 (Windows XP).

2. Crée le fichier, %System%Awqewqed.dll, qui est un ver de type MIME64-encoded. Le ver n'est pas en activité sous cette forme, ce n'est pas une menace, et les produits d'antivirus ne la détectent pas. Supprimez manuellement la menace si vous la trouvez.

3. Ajoute la valeur:
NvCpTdaemon wuauqmr.exe
aux clefs de registre:
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRunOnce
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
de sorte que le ver fonctionne quand vous demarrez Windows.

4. Crée le dossier, %System%Jdfghtrg, et crée beaucoup de copies de lui-même dans ce dossier, en utilisant les noms de fichier que le ver porte. Quelques exemples:
SMS_sender.exe
DivX 5.03 Codecs.exe
Download accelarator.exe
PaintShop Pro 7 Crack_By_Force.exe
ZoneAlarm Pro KeyGen.exe
Winupdate.exe

5. Ajoute la valeur:
Dir0 012345:%System%jdfghtrg
à la clef de registre:
HKEY_CURRENT_USERSOFTWAREKAZAALocalContent
de sorte que d'autres utilisateurs de KaZaA puissent télécharger les fichiers du ver de ce dossier.

6. Si le logiciel d'exploitation est Windows 95/98/Me, le ver s'enregistre comme processus de service, de sorte qu'il n'est pas visible dans la zone de dialogue.

7. Crée des noms réceptifs aléatoires et emploie les domaines suivants pour produire des adresses d'email:
Email.com
BellAtlantic.net
Verizon.net
Btinternet.com
Gmx.de
Gmx.net
sympatico.ca
wanadoo.fr
wanadoo.nl
planet.nl
adelphia.net
hotmail.com
earthlink.net
otenet.gr
chello.pl
chello.nl

8. Utilise des serveurs smtp dans une liste que le ver transporte pour s'envoyer lui-même à toutes les adresses d'email qu'il crée

9. Se relie aux URLs suivantes pour informer l'intrus:
chat.planet.nl
www.chat-planet.nl

10. Ouvre beaucoup de ports aléatoires TCP

Pour se désinfecter:

Mettre à jour son anti-virus
Scanner vos disques
Supprimer tous les fichiers détectés infectés par Cult.B
Supprimer manuellement %System%Awqewqed.dll
Verifier et corriger les clés de la base de registre modifiées.



Nb:Il reconnaît en moyenne une cinquantaine de nouveaux virus chaque jour alors ci pas des miliers