Codes malveillants

Winevar, le virus qui vous insulte.

Par Jerome Saiz, le 29 nov 2002 à 16:43:00.

Pour le virus Winevar, vous êtes un idiot. Il vous l'explique tranquillement après avoir infecté votre PC, et juste avant de tout effacer.

Comme beaucoup de ses congénères, Winevar arrive d'abord dans votre boîte aux lettres, sous la forme de trois pièces jointes à un courrier. Leurs noms sont variables, mais commencent tous par "Win" et les fichiers ont pour extension .htm, .ceo et .pif.
Si vous exécutez le fichier .pif le virus entreprend quelques gros chantiers sur votre PC : il commence par tuer tous les programmes en mémoire qui pourraient être un antivirus ou un firewall personnel. Il s'assure ensuite d'être réveillé automatiquement au prochain démarrage du PC, en modifiant la base de registre. Il crée enfin une nouvelle copie de lui-même, chargée de faire le sale boulot.
Selon le temps écoulé depuis l'infection, cette dernière peut décider d'activer la charge offensive du virus. Si c'est le cas, elle affiche alors une fenêtre qui indique ce qu'il pense de l'utilisateur qui vient de l'exécuter, avant d'effacer l'intégralité du disque dur à partir duquel le virus a été lancé.

Image : Symantec

Si la charge offensive n'est pas activée cette fois-ci, le virus détermine si le PC est connecté à Internet. Si ce n'est pas le cas, il infecte le système avec le virus Funlove.
Sinon, il passe en mode "ver", et récupère des adresses email, confectionne un email infecté avec de nouvelles copies de lui-même, et les envoie à tous les correspondants, via son propre serveur SMTP. Enfin, pour faire bonne mesure, Winvar tente un déni de service depuis la machine infectée vers le site web de l'éditeur Symantec, en demandant à lire la page d'index du site chaque milliseconde.
Tous les antivirus détectent désormais Winevar, et il ne devrait pas être difficile de l'identifier. La désinfection manuelle est également très simple, puisqu'il suffit d'effacer les fichiers et les entrées de la base de registres créés par le virus. Enfin, Symantec propose sur son site un outil de détection de désinfection gratuit pour Winevar.

Plus d'information

L'outil gratuit de Symantec (détection et désinfection de Winevar).

Un virus aux images indigestes. (28 jan 2002)
Blaster, le ver qui veut museler Microsoft. (13 août 2003)
Bibrog vous occupe pendant qu'il vous infecte... (15 mars 2003)
Cisco veut combattre les virus sur les routeurs. (08 juin 2004)
BugBear : le virus simple... et qui marche. (03 oct 2002)

Cartes blanches

IAM : dépenser moins pour gagner plus Bruno Vincent Une phrase d'Eric Domage, d'IDC, interpelait récemment décideurs et acteurs du marché sur l'importance des coûts et le peu de ROI découlant des projets d'IAM. Bruno Vincent nuance voire réfute en partie, ces propos.	Organisation et sécurité: en finir avec le cloisonnement ! Bruno Vincent DSI,RSSI et Métiers ont encore du mal à collaborer efficacement. Pourtant, l'organisation s'avère être, une fois de plus, la pierre angulaire d'un Système d'Information sûr et aux coûts maîtrisés.
Les RSSI du monde bancaire à l'aube d'une vague de démissions ? Monsieur RSSI Rien ne semble changer en matière de risques et sécurité dans le monde bancaire. Constat désabusé et inquiet d'un RSSI du secteur.	Rififi en vue chez les identités Bruno Vincent Alors qu'OpenID attise l'intérêt des géants de l'informatique, l'acquisition de Credentica par Microsoft laisse augurer d'une possible guerre des « standards » en matière de gestion des identités sur le Web.
>> Plus de Cartes Blanches

Les dossiers Les thématiques

Quel socle de connaissances pour le RSSI ?Les services managés de sécurité à l’age adulte Les botnets se mettent au Web 2.0 Antivirus : la révolution in the cloud

Gestion des Identités et des Accès Les Assises de la Sécurité 2008 Les Interviews Vidéo Prévention des fuites de données (DLP)Virtualisation

espace partenaires

Livres Blancs

Guides

Le Guide Sécurité & Stockage 2009, c'est 290 pages consacrées au marché et à ses acteurs, et 300 entreprises référencées.

Espace membres