AU SECOURS ! Virus

[Sisyphe]

J'ai reçu il y a quelques dizaines de minutes un courriel d'une adresse qui m'était connue, sans un mot (excepté "LOL"), mais avec un fichier joint appelé "photo_enc.exe".

J'ai comme un con ouvert ce fichier joint, ce qu'il ne faut jamais faire en l'absence d'explications - ce que je savais pourtant parfaitement.

Depuis une demi-heure je ne cesse pas de recevoir des notifications de non-délivrance de courriers que je n'avais pas envoyés, non seulement de gens qui sont dans mon carnet d'adresse mais aussi d'adresses relatives à des sites qui sont dans mes favoris ou que j'ai déjà visités DONT LOKANOVA et certains de ses membes (pour l'instant je n'ai reperé que Geache)

Les refus de délivrances précisent justement que le message a été refusé parce que le fichier joint paraissait suspect. J'en conclue :


1. Que le virus en question - si c'en est bien un - a tenté de se reproduire et qu'il s'attaque à toute mon interface internet.
2. Que celles des adresses dont les courriers mes reviennent ont été protégé par un pare-feu assez puissant.
2. Que d'autres personnes ont pu être contaminées par ma faute, sans avoir été protégées par un logiciel assez puissant.

QU'EST CE QUE JE DOIS FAIRE ?

Noter que pour l'instant, à part le flot de notifications, je n'ai reperé aucun dsyfonctionnement. Et que mon anti-virus (c'est celui de wanadoo, je veux bien qu'il ne soit pas très puissant, mais quand même) ne détecte rien - pourtant ça fait trois fois que je le repasse.

Pourrait-ce n'être qu'un canular bien perfectionné ?

Au secours...

[Sisyphe]

D'après certains retours de courrier, le virus en question s'appelerait New Malware B.

Jusqu'ici j'avais un anti-virus mais pas de pare-feu ; dois-je conclure de cette mésaventure que c'est plus que nécessaire ? Et au fait lequel me conseillez-vous, là tout suite ? Ca se télécharge gratuitement quelque part ? Est-ce que queqlu'un aurait une bouteille de whisky parce que j'ai envie de me souler la g...., je viens de dépasser le stade du désespoir.

J'en suis à 50 notifications à chaque connection, donc dix minutes...

mamaaaaaaaan !

[Sisyphe]

φαιτ χηιερ πυταιν δε βορδελ δε νομ δε διευ

Excusez-moi j'avais envie de pousser un juron....

Bon, l'ennemi est identifié : c'est en fait un énième clône de Mydoom.

http://www.europe.f-secure.com/v-descs/mydoom_s.shtml

Apparemment, la dispersion par internet était faite pour s'arrêter au 20 août. Comme je l'ai reçu le 19 à 23 heures et des poussières, il doit avoir cessé maintenant (je n'ouvre plus Outlook, mais Wanadoo ne m'annonce "plus que" 27 nouveaux courriels).

Si j'en crois l'URL en question, mon intuition était la bonne : il se reproduit sur tous les adresses courrielles disponibles depuis toutes les pages internets consultées ces derniers temps.

Ce que je ne comprends pas, c'est :

1. Puisqu'il est identifié par F-Secure (l'URL), et qu'F-Secure est justement mon anti-virus, pourquoi continue-t-il à me dire qu'aucun fichier n'est infecté ?

2. Pourquoi le bouton de mise à jour de l'anti-virus est et reste grisé ? Est-ce que c'est le virus lui-même qui fait ça ?

2. À part se reproduire - et au passage f**tre en l'air ma messagerie - fait-il d'autre dégât ? Rien n'est mentionné ? En gros, est-ce que je ne risque que le spam dans les prochains jours ou bien est-ce qu'il va s'attaquer au bios et faire exploser mon ordi sur place ?

Excusez ma naïveté, ma fébrilité et mon envoi massif de post sur ce topic, mais la dernière fois que j'ai eu affaire à un virus, c'était du temps de windows 3.1 ; depuis le vice a fait des progrès.

[Sisyphe]

Prostituée ! 4h30 du matin...

Bon, en fait, j'aurai fait un post pour pas grand-chose. Grâce aux excellents liens de Freelang j'ai trouvé tout ce qu'il faut pour le combattre. Apparemment, il a trouvé le virus et l'a anéanti...

Un de ces jours, il faudrait qu'on écrive une ode à la gloire de Beaumont et de tous les services que rend Freelang, y compris les plus insoupçonnés.

Je vous semble peut-être stupide dans les questions que j'ai posées plus haut, mais c'est la première fois depuis mon 80386 que j'ai affaire à un virus, et je maîtrise pas encore tout à fait internet. Me voilà neuf, imécile ignorant devant les choses humaines (Claudel)...
... Péripatéticienne, je suis en train de citer Claudel. Faut vraiment que la nuit et mon désespoir soient bien avancés .

Bon, et bin j'aurai appris que "malware" est synonyme de virus et que c'était pas son nom. Et que les antivirus soi-disant à jour ne le sont jamais.

Mais j'ai jamais eu aussi peur que depuis le jour où la maîtresse m'a forcé à sauter dans le grand bain de la piscine (en CP...).

J'ai encore deux questions stupides :

1. Il reste vingt-six notifications de non-délivrance dans ma boîte. Si j'ouvre Outlook demain pour les supprimer, est-ce que je risque de réveiller la bête ?
2. Dois-je m'attendre à un spammage en règle dans les prochains jours ?

Et vive l'informatique...

[Beaumont]

J'ai reçu il y a quelques dizaines de minutes un courriel d'une adresse qui m'était connue, sans un mot (excepté "LOL"), mais avec un fichier joint appelé "photo_enc.exe".

J'ai comme un con ouvert ce fichier joint, ce qu'il ne faut jamais faire en l'absence d'explications - ce que je savais pourtant parfaitement.

Ce n'est pas tant l'absence d'explications, c'est surtout l'extension du fichier (.exe) qui indique qu'il s'agit d'un programme, et donc potentiellement d'un virus (probabilité d'autant plus grande qu'il n'y a effectivement aucune explication et que tu n'attendais pas ce mail).

[Beaumont]

Jusqu'ici j'avais un anti-virus mais pas de pare-feu ; dois-je conclure de cette mésaventure que c'est plus que nécessaire ? Et au fait lequel me conseillez-vous, là tout suite ? Ca se télécharge gratuitement quelque part ? Est-ce que queqlu'un aurait une bouteille de whisky parce que j'ai envie de me souler la g...., je viens de dépasser le stade du désespoir.

Pour le firewall je te conseillerais ZoneAlarm, qui est gratuit. Ce qui n'empêche pas une bouteille de whisky, pour ma part je fonctionne avec les deux.

[Beaumont]

1. Puisqu'il est identifié par F-Secure (l'URL), et qu'F-Secure est justement mon anti-virus, pourquoi continue-t-il à me dire qu'aucun fichier n'est infecté ?

La version S de Mydoom a été découverte le 15 août, donc je pense que ton anti-virus n'était pas à jour (ce qui n'est pas un reproche, on ne peut pas passer son temps à télécharger des updates).

2. Pourquoi le bouton de mise à jour de l'anti-virus est et reste grisé ? Est-ce que c'est le virus lui-même qui fait ça ?

Aucune idée.

2. À part se reproduire - et au passage f**tre en l'air ma messagerie - fait-il d'autre dégât ? Rien n'est mentionné ? En gros, est-ce que je ne risque que le spam dans les prochains jours ou bien est-ce qu'il va s'attaquer au bios et faire exploser mon ordi sur place ?

D'après ce que j'ai lu, notamment ici, le virus n'est pas destructeur. En revanche tu risques de recevoir un peu plus de spam qu'avant, ton adresse ayant été diffusée plus largement qu'avant.

[Beaumont]

1. Il reste vingt-six notifications de non-délivrance dans ma boîte. Si j'ouvre Outlook demain pour les supprimer, est-ce que je risque de réveiller la bête ?

Non, si tu n'exécutes aucun fichier attaché il n'y aura pas de problème. Par contre il faut t'assurer que la bête est bien exterminée, pour ça le mieux c'est de télécharger un utilitaire de désinfection spécialement conçu pour éliminer Mydoom :
http://securityresponse.symantec.com/av ... Mydoom.exe

2. Dois-je m'attendre à un spammage en règle dans les prochains jours ?

Difficile à dire précisément, tout dépend combien de personnes ont été contactées. Mais tu peux être spammé de toute façon si ton adresse est dans le carnet de quelqu'un qui lui-même se chope un virus.

Sinon je suis content que tu aies pu trouver des infos sur Freelang, je rappelle que le dossier Lutter contre les virus vient d'être mis à jour. [/auto-promo].

[Maïwenn]

Bon, en fait, j'aurai fait un post pour pas grand-chose.

Si, si ! Tes peripeties etaient tres droles a lire Mais je suis tres contente que tu aies finalement vaincu ton ennemi !

[Latinus]

Juste par curiosité, aurais-tu conservé un exemplaire d'un de ses message de "refus de délivrance" ?

Pour info, lokanova n'envoye pas (plus) de mail d'alerte à l'émetteur d'un mail contaminé.

Content que tu t'en sois sorti

[Latinus]

Entre le 19/08/2004 - 16h30 et le 20/08/2004 13h50, lokanova a arrêté deux mail provenant de la même adresse email que celle que tu utilises sur le forum.

Tous les deux contenaient un fichier photo_arc.exe, détecté comme étant le virus I-Worm.Mydoom.q

Les deux cibles étaient :

- forummaster
- daraxt

[Sisyphe]

Bon, au dernières nouvelles, la bête aurait été boutée hors du territoire sacré ; j'ai en effet repassé tout à l'heure un coup l'excellent anti-Mydoom référencé par Freelang et Beaumont ( laudamus te, glorificamus te), et il n'a rien trouvé.

Vers minuit, le flot de notification avait cessé (plus qu'une vingtaine entre 0h et 0h30) - puis vers trois heures ça a recommencé. Je ne comprends pas très bien. La dispersion du virus, apparemment, devait s'arrêter à 0h00... Mais peut-être qu'il s'est retrouvé - et sans doute via Freelang - sur une messagerie situé dans un fuseau horaire où on était encore hier.

Quand je suis allé me coucher [barré]hier soir[/barré] ce matin, j'en étais à 157 messages. En me levant [barré]ce matin[/barré] cet après-midi, j'en étais à 160 ; j'en conclus qu'il a vraiment cessé cette fois-ci. J'espère...


... Et dire qu'il va me falloir supprimer tous ces messages ! Pfouh !

*

@Beaumont : je maintiens quand même que je suis un con, parce que le fichier joint était clairement un .exe, même pas caché ou déguisé en .doc.com par exemple. Ce n'est pas la première fois que ça m'arrive et jusqu'ici je n'avais rien ouvert. Mais ce fut une lamentable conjonction d'éléments défavorables :

1. Le courriel provenait de quelqu'un que je connais vaguement, ce qui a joué contre moi : si l'adresse avait été celle d'un ami proche, je me serais méfié (je n'attendais pas de photo). Mais tel quel, ça avait l'air d'être un envoi massif à tout un carnet d'adresse, comme on le fait parfois quand on a un truc drôle à faire partager.

2. Le seul message était "LOL ;-)". En toute autre circonstance, ça m'aurait paru suspect. Mais le propriétaire de l'adresse en question était justement un type du genre à ekrir D ML en SMS et à les surponctuer de !!!!!!!!!!!!!, de LOL et autres MDR. Bref, c'était plausible.

3. J'étais fatigué, il était tard, je venais d'apprendre une mauvaise nouvelle ; bref, j'avais envie de rigoler un coup.

Bref, faut croire que mon karma n'était pas bien portant et que Venus était entrée dans la maison du Verseau sans s'être essuyé les pieds avant : mais j'ai pas eu de pot.

Merci une nouvelle fois pour les infos de ton site (:god: laudamus te, glorificamus te) et pour le pare-feu.

*

@ Latinus : Comme dit plus haut, j'ai encore 160 notifications qui attendent leur suppression. Mais j'en avais déjà supprimé un paquet.

Je n'ai gardé que celle, beaucoup plus détaillé, provenant d'une adresse à l'Ecole Normale Supérieure (ils ont un bon réseau), qui détaillait certains aspects du virus. Est-ce que tu veux que je t'envoie une copie du message en question ?

Pour ce qui est des tentives d'envoi de courriels contaminés vers freelang et ses membres, je ne peux pas évaluer ce qu'il en est exactement, car j'ai déjà pas mal détruit. Je sais que j'ai reçu au moins trois réponses de "forummaster". Mais ce qui m'inquiète surtout, c'est que j'ai reçu des réponses provenant d'adresses courrielles de membres du forum, adresse que pourtant je ne connaissais pas et qui n'apparaissent pas sur le forum (j'ai reperé Geache et Bernard (Vivier) - mais il peut y en avoir beaucoup plus car je ne connais pas les noms derrières les pseudos).

Vous croyez qu'il peut avoir scanné l'intégralité des adresses courrielles des membres, même celles qui n'apparaissent pas ?

L'alerte est passée chez moi, mais je ne suis pas encore rassuré...

FAITES ATTENTION LES AMIS !

[Latinus]

@ Latinus : Comme dit plus haut, j'ai encore 160 notifications qui attendent leur suppression. Mais j'en avais déjà supprimé un paquet.

Je n'ai gardé que celle, beaucoup plus détaillé, provenant d'une adresse à l'Ecole Normale Supérieure (ils ont un bon réseau), qui détaillait certains aspects du virus. Est-ce que tu veux que je t'envoie une copie du message en question ?

non merci, c'était avant que je poste mon précédent message

Vous croyez qu'il peut avoir scanné l'intégralité des adresses courrielles des membres, même celles qui n'apparaissent pas ?

Non c'est impossible puisque aucune adresse email est affichée, à l'exception des contacts "msn/yahoo messenger" et "AIM".

[iubito]

Je conseille à tous de s'abonner à la lettre d'info de www.secuser.com
on est prévenu rapidement à la sortie des virus, canulars et patch windows et autres. C'est vachement pratique !

[Sisyphe]

Merci Iubito, je vais le faire en effet. Je crois que je vais être un peu plus précautionneux désormais.

Pour Latinus : effectivement, un certain nombre de messages de retour avaient trait à Yahoo messenger et autres (me demandant d'ailleurs de confirmer une inscription que je n'avais jamais demandée - ce qui veut dire je suppose que la dispersion n'a pas eu lieu sur ces interfaces-là).

J'ai quand même vu un certain nombre d'adresses courrielles que je ne connaissais par, hors MSN et consors, et qui venaient de Freelang... Bon, on verra bien.