"YOUANDME.PIF" qu'est ce que c'est exactement comme virus??? - Sécurité - Windows & Software
Marsh Posté le 08-03-2005 à 18:48:10
slt xogeur,
Informations sur le virus
W32/Redesi-H
Récapitulatif
Récapitulatif Description
Profil
Nom W32/Redesi-H
Type Ver
Alias mIRC/Redesi-H
Protection
Protection disponible depuis le 16 novembre 2001
Inclus dans notre produit depuis Janvier 2002 (3.53)
Maintien à jour
Si vous n'utilisez pas encore notre technologie de mise à jour automatique, essayez EM Library, une partie de la suite d'outils de gestion Enterprise Manager, qui permet sur un grand nombre de plates-formes l'installation et la mise à jour complètement automatisées de Sophos Anti-Virus par l'intermédiaire du web.
Description
Récapitulatif Description
W32/Redesi-H est un ver qui se propage en utilisant Microsoft Outlook et le client mIRC (Internet Relay Chat). Le ver arrive dans un e-mail avec l'objet choisi parmi l'un des suivants :
"Can't we sort this out ?"
"I was wrong, I'm sorry."
"I know I was a bitch"
"We belong together"
"Can't resist, thats where we went wrong."
"Seaside Atmosphere."
"I hear the ocean beat upon the shore outside my room."
"Calling me up from sleep to listen to her gracefull tune."
"It's gonna be a lovely day."
"Don't ask me what I smoke. But I drink to get drunk."
"I kept watching the way you move."
"Two people, barely tocuhing each other."
Le corps du message contient l'un des textes suivants :
"Hey baby
Sorry I was such a bitch to you.
Is there no way we can sort this out ?
The last few days have been hell without you... I miss you
I've attached a picture ... thought you might like it.
Please call me !
All my love. Erica"
ou
"Hey darlin'
I'll be home in a few days. can't wait to see you again
Attached a picture we took on Sturday on Gatecrasher. Love ya
Erica =x="
ou
"Hi sexy.
Went to Gatecrasher on Saturday, it was absoulutly brilliant !!!
here is a picture of me by the bar (as usual heh)
Be home tommorrow."
Chaque message envoyé par le ver contient deux pièces jointes. La première pièce jointe est toujours une image non virale au format JPEG nommée erica.jpg.
La seconde pièce jointe est le ver avec un nom choisi aléatoirement parmi :
"C:\erica.scr"
"C:\YouandMe.exe"
"C:\Me.pif"
"C:\Myself.pif"
"C:\myscreensaver.scr"
"C:\aboutme.exe"
"C:\you.exe"
"C:\together.scr"
Lorsqu'il est exécuté, le ver s'envoie à tous les contacts présents dans le carnet d'adresses de Microsoft Outlook.
Il change ensuite la clé HKLM\Software\Microsoft\Windows\CurrentVersion\Run dans la base de registre pour qu'il s'exécute au démarrage de Windows.
Le ver essaie aussi de créer le fichier script mIRC C:\mirc\script.ini. Le fichier placé essaie d'envoyer le ver aux autres utilisateurs mIRC. Le fichier script est détecté par Sophos Anti-Virus comme mIRC/Redesi-H.
Tous les vendredis, le ver affiche une boîte de dialogue contenant le texte :
"Erica, what sunshine is to flowers, your smiles are to happiness."
Marsh Posté le 08-03-2005 à 22:06:35
Merci beaucoup , et ya t'il un danger pour son pc une fois infecté?
Marsh Posté le 08-03-2005 à 22:13:32
signature
edit : et redesi-h n'a rien à voir avec Kerlvir
Marsh Posté le 08-03-2005 à 23:45:38
ReplyMarsh Posté le 09-03-2005 à 09:28:25
ben tu regardes le premier lien de ma signature qui donne sur le topic veille sécurité où tu trouveras les infos sur Kelvir, voila
car c'est bien du Kelvir et pas du redesi que tu dois avoir. plein de virus utilisent les mêmes noms de fichier maintenant (les mecs sont des fois un peu à court d'idée)
Marsh Posté le 09-03-2005 à 14:20:52
Tdka a écrit : slt xogeur,.... |
J'ai relu et je me rend compte que tu parle d'un vieux virus, moi je parle de celui la exactement http://labo-microsoft.org/n/12708/, que fait t'il precisement et clairement...?????
Marsh Posté le 09-03-2005 à 14:47:17
apprend à lire !!!
je t'ai donné le lien pour mon topic sur les failles et les virus
Marsh Posté le 09-03-2005 à 14:57:24
j'ai voulu faire l'expéreince par moi même... Il semblerais que YouandMe soit un logiciel anti Microsoft. Je m'explique après l'avoir bien soigneusement téléchargé et executer... rien ne change c'est cool. Du moins a première vue. Une prossessus en plus dans le Gestionnaire de tache.
Le temps que le virus se mette en place sur vos ordi vous avez une uplaod de maxi de 1ko/s (vu qu'il exploite le reste). ensuite , il est cahrgé. ca a pris 30 minutse chez moi.
Bref, maintenant, lorqsue j'essaye d'ouvrir quelque soit le produit Microsoft ca plante et la fenetre disparait on dirait:
Test sur Dreamweaver et Frontpage 5front page fermé)
sur Firefox et IE -> IE se ferme
Sur WMP et Bsplayer WMP se ferme ...
Les autre produits sont stable.
J'trouve ca fun. bon mon pc est chaint maintenant mais bon, Symantec a deja mis a jour un remove W32.Kelvir.A. Je plainds les utilisateur de IE pour télécharger le remove
@+ tout le monde et amusez vous bien
PS: J'le tuve finallement pas mal comme virus /
Marsh Posté le 09-03-2005 à 16:35:58
minipouss a écrit : apprend à lire !!! |
Rien a faire de ton lien, je veus juste savoir ce que fait ce virus exactement et clairement, alors soit quelqu'un sait et me dit clairement car je n'y connait rien soit tu ne dit rien...
Marsh Posté le 09-03-2005 à 17:56:41
vas sur le lien en première page catégorie virus et tu lis !!! il te faut quoi de plus ? qu'on te copie/colle le résultat ici.
un forum c'est de l'aide pas de l'asistanat
et tes "rien à faire" tu te les gardes merci
Marsh Posté le 10-03-2005 à 14:56:39
Bon revennons au sujet :
Comme je l'ai annoncé plus ahut, j'ai testé ce virus. et li semblerais que chez moi ce ne soit pas vraiment une copie de virus qu'il a faite puisque Le Kelvir.D n'est pas detecté chez moi. J'ai déjà supprimé pas mal de truc comme le processus dans C:\Windows\System32\Nvs32*.exe.
Bah rien a faire aucun antivirus ne détecte lsu rien pourtant mon PC met encore 8 minutes a charger la page principale et aucune page n'est accessible avec IE.
J'commence a douter du fait qu'il doit bien d tester les virus pour voir si on peut les virer trankil... Sacré W32 Spybot Worm
Marsh Posté le 11-03-2005 à 15:26:47
J'ai reçu ce virus mais je ne pense pas l'avoir installé, mais depuis ce jour là , mon UC est trés souvent à 100% . De plus, j'arrive à ouvrire tous mes programmes et pages webs . Le seul problème est donc qu'il ralentie le PC.
J'ai essayé 2 antivirus en ligne, et ai téléchargé Panda antivirus mais aucun de ces trois ne le détecte .
J'ai plein de processus cheloux comme " packager.exe " , " calc.exe " , "Lucoms.exe" , "xxrkmdh.exe " ...Enfin bref , je sais plus ou j'en suis . Quelqu'un pourrait m'aider ?? Merci
Marsh Posté le 12-03-2005 à 11:25:40
tu devrais regarder sur google tu trouverais surement des pages symantec (Norton) qui devraient t'expliquer si ce sont des virus ou koi...
Marsh Posté le 08-03-2005 à 12:09:54
"YOUANDME.PIF" qu'est ce que c'est exactement comme virus??? Et qu'est ce que ca peut faire a son pc exactement ??? J'ai lu que c'est le virus "W32.Kelvir.A." qui est une variante de "W32.Spybot.Worm. "
Voila le lien qui explique comment il se diffuse:
http://labo-microsoft.org/n/12708/
Message édité par xogeur le 08-03-2005 à 12:12:35