Winevar
est un virus qui
se propage par email. Il se présente sous la forme
d'un message dont le titre, le corps et le nom du fichier
joint sont aléatoires. Si le fichier joint est exécuté,
le virus se copie sur le bureau Windows sous le nom EXPLORER.PIF
et dans le répertoire Windows avec un nom aléatoire,
puis copie et exécute un second virus nommé
Funlove. Winevar est capable
de supprimer les antivirus et firewalls personnels les plus
populaires et peut également le cas échéant
effacer tous les fichiers du disque dur.
PREVENTION
:
Les utilisateurs concernés doivent mettre
à jour leur antivirus. En cas de doute, les utilisateurs
d'Internet Explorer doivent aussi mettre à jour
leur navigateur via le site de Microsoft (Microsoft
VM ActiveX Component et Incorrect
MIME Header) ou le service WindowsUpdate
afin de corriger les failles exploitées par le
virus.
DESINFECTION
:
Avant
de commencer la désinfection, il est impératif
de s'assurer avoir appliqué les mesures préventives
ci-dessus afin d'empêcher toute réinfection
de l'ordinateur par le virus. Les utilisateurs ne disposant
pas d'un antivirus peuvent utiliser gratuitement l'utilitaire
de désinfection FixWEvar pour rechercher
et éliminer le virus.
|
TYPE
:
Ver
SYSTEME(S)
CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
ALIAS
:
Win32.Bride.C@mm
(Bit Defender)
I-Worm.Winevar (Kaspersky)
W32/Korvar (McAfee)
W32.HLLW.Winevar
(Symantec)
WORM_WINEVAR.A (Trend)
TAILLE
:
91 Ko
DECOUVERTE
:
23/11/2002
DESCRIPTION
DETAILLEE :
Le virus
Winevar se présente sous la forme d'un message dont
le titre, le corps et le nom du fichier joints sont aléatoires.
Le message comporte toutefois trois pièces jointes
caractéristiques :
- Win[nombre
aléatoire].Txt (12.6 KB) Music_1.htm
- Win[nombre
aléatoire].Gif (120 Bytes) Music_2.ceo
- Win[nombre
aléatoire].pif
Le message
infecté exploite une vulnérabilité des
navigateurs Internet Explorer (MS01-020)
mais suite à un bug le virus Winevar est incapable
de s'exécuter automatiquement. Comme
la vulnérabilité exploitée fait que le
fichier joint est invisible sous Outlook, tout danger d'infection
est donc pratiquement écarté pour les utilisateurs
de ce logiciel de messagerie.
La propagation
de Winevar est restée très faible et principalement
limitée à l'Asie, sans aucune commune mesure avec le traitement
médiatique dont ce virus a fait l'objet. A moins de
l'apparition d'une variante corrigeant le bug de la première
version, tout danger de propagation massive est écarté.
INFORMATIONS
COMPLEMENTAIRES :
-> FAQ : comment
désinfecter le répertoire C:\RESTORE?
-> FAQ
: que faire dans le cas d'un fichier "uncleanable"
(non nettoyable)?
-> FAQ
: comment supprimer un fichier en cours d'utilisation?
-> FAQ
: qu'est-ce que le partage de fichiers et comment y mettre
fin?
-> Dossier
Secuser.com sur les virus
-> Abonnement gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
|