Historique et explicationsNB: depuis peu, Virut se présente aussi via la spam alors
même ne ceux qui ne font pas de P2P sont aussi à risques...
Né en septembre 2007, ou plutot 'vraiment actif' en 2007, incubé et distribué via les réseaux Peer to Peer (Torrents / Craks), Virut, Virtob, Sality, sont autant de noms et variantes de malwares , spywares, virus spécifiques , polymorphes et hautement dangereux pour l'ensemble des réseaux P2P et les machines s'y connectant.
Il est à noter que les nouvelles variantes de Virut surtout , sont de plus en plus malignes et difficiles à traiter
La création même de ces destructeurs a été planifié et exécuter par de véritables pirates et non pas par les premiers venus dans ce domaine
Sans compter que ces types de piratages s'affinent de jour en jour, ainsi il est 'remarquable' de voir que ces infections n'éveillent aucunement les soupçons sur leur présence
Elle vont même à faire un nettoyage des systèmes de protections en gardiens afin de disposer plus aisément de réactivité et d'efficacité de la machine ainsi 'zombifiée'
Donc la machine ainsi piratée garde de sa vitesse et les logs obtenus par hijackthis ne montre souvent au premières heures, rien de significatif, pour une période d'environ (2 heures), suivant son introduction
Les premières manifestations
Car c'est par là suite, ayant désactivé les protections que l'utilisateur inconscient du problème infecte sa machine par d'autres types d'infections qui elles sont souvent visibles ,comme des infections Vundo par exemple qui au début
ont été associées à Virut, en menant sur de fausses pistes
Notez aussi que souvent les anti-virus détectent sa présence, mais sont impuissants et pour cause...
Comment ça s'attrape ce trucLa porte d'entrée des ces graves menaces est sans conteste le protocole P2P ou si vous connaissez mieux, les torrents, Warez, Emule Bitcomet ect...
et nouvellement par le spamVoici ici une capture pour simplement vous donner une idée des connexions qui s'effectuent durant un échange P2P.
NB: Il est impossible de définir ici la source de contamination
Capture Connexions multiples P2P EtherApe
Malheureusement intelligentAlors sans entrer dans les détails, disons simplement que ces types de 'virus', sont en quelque sorte similaires aux virus humain, à l'exemple du 'SIDA' en ce sens qu'ils se logent dans des 'cellules saines' et vitales au système.
C'est pourquoi, il est souvent non envisageable de supprimer tous les fichiers infectés car nous risquons d'amputer ainsi le
système d'exploitation qui devient instable, sinon inutilisable.
C'est le bût de ces types de virus et c'est là tout le problème.
La solution idéaleIl n'existe pas de solution idéale sinon que de s'abstenir d'utiliser les protocoles P2P dans un but d'acquérir gratuitement des logiciels qui sont de propriété intellectuelle et dont les éditeurs ont des droits légitimes comme celui de vivre de leur commerce
Il n'est pas question ici de bannir l'échange P2P car ceci est d'une grande utilité et une super méthode de distributions et d'échange mondial
Nous n'avons qu'à penser aux premiers échanges de distributions Linux et
à celles qui se partagent partout dans le monde grâce au P2P
Pourquoi Virut résisteMême si il est intéressant de relever des défis et de combattre le côté 'obscure' du net, il est
totalement inutile de tenter de désinfecter 'étant connecté' via un forum les nouvelles variantes de Virut.
Voici pourquoi: Le virus polymorphe complexe Win32.Virut. Q , Ax 1,2 5, ainsi de suite, contaminant tous les fichiers exécutables possède des fonctionnalités permettant de gérer les machines contaminées à l’aide d’IRC.
(Soit, un canal qui lui est octroyé afin de commettre ses méfaits) Ce virus contamine tous les fichiers exécutables sur les disques durs ainsi que tous les disques amovibles ayant été en contact avec la machine
Généralement, le virus ne modifie aucunement la taille du fichier-victime simplement parce qu'il s’enregistre dans le domaine d’octets
zéro. Donc un logiciel connu de vous qui avait par exemple une taille de 2400 k/o restera de la même taille si Virut y est introduit
Cette contamination se faisant sans aucun effet visuel ou alarme, il ne nous met la puce à l'oreille que par des signes
tels que des erreurs d’Explorer, qui sont souvent la 'normalité' sous Windows
Le virus a la capacité d'intercepter l’accès Internet des applications infectées, lui permettant ainsi de
déjouer
les politiques de sécurité des pare-feu utilisés. Ce qui veut dire que si un des programmes autorisés par les politiques de sécurité ayant en toute légitimité la permission de se
connecter sur le Net le fait non par lui-même, mais que
Virut usurpant son identité, les protections ne réagiront pas
Le corps même du virus contient même dans ses entrailles
des liens depuis lesquels il peut
recevoir instructions via le canal IRC qui
est en quelque sorte son lien avec le
Quartier général
Dans un cour laps de temps après le lancement d’Explorer alors contaminé par le virus, celui-ci observe et examine les ressources
réseau afin de trouver des dossiers réseau disponibles pour la sauvegarde d’informations auxquels il pourrait s'attaquer en
contaminant tous les fichiers exécutables qu’ils contiennent.
Il se ressource également via l'IRC ou il tire sa subsistance en cas de
'démembrement partiel'.
Je veut dire que les anti-virus aient eu une certaine efficacité de désinfection et lui ferait malDonc tant et aussi longtemps que la machine a une connexion internet,
il se jouera de toutes vos tentatives et vous tournera en bourrique.
Quand plus rien ne va 'solution ultime'Ici optionnel: Killdisk (Pour utilisation éventuelle, en cas d'échec de cette méthode ci-dessus)
Il est très important ici d'éclaircir un point:
Le format conventionnel connait de graves ratés avec Virut pour une raison particulière et que j'ai identifié à me première rencontre avec lui. Windows XP ou Vista ont un système de fichiers en sauvegardes renouvelables qui se nomme le 'Volume /restore'
C'est avec celui-ci que vous pouvez restaurer à une heure antérieure votre système.
Ce fichier si vous recherchez à l'explorer ou l'ouvrir va vous indiquer que Windows ne peut pas et que ce dossier est vide.
Je fais abstraction des détails techniques ici ;-)
Sachez simplement qu'en cas de contaminations, bénignes ou très malignes, à la fin des désinfections, nous devons supprimer cette sauvegarde simplement parce que si vous restaurer la machine à cette date ou elle était infectée, alors vous ré-introduisez les infections de cette date.
Alors dans le cas de Virut, celui-ci se loge en premier dans ce Volume/ restore, dans le bût unique qu'il revienne contrôler à
nouveau votre ordinateur. Mais c'est justement ici qu'il sévit et se moque même du 'format conventionnel'.
Car le format ne supprime pas du tout le volume/ restore, habité confortablement par Virut !
Et c'est pourquoi nous le voyons aussitôt resurgir sur les machines 'censées être désinfectées par le format'.
C'est pourquoi j'indique que si vous devez 'formater',
le terme n'est pas exact. Car ce n'est pas une simple fonction de format, mais un 'Wipe' ou un balayage de ré-initialisation (0) de votre disque dur.
Donc effacement par balayage total du disque ou Killdisk met des
0 données partout sur tous les secteurs du disque.
Ce dernier réintègre ainsi sa condition d'usine soit vierge.NB: Si les marchands étaient assez respectueux de leur clients, ils feraient une petite partition pour recevoir le Système d'exploitation sur le C:/ puis une plus grande sur un D;/ ou vous pourriez loger tous vos documents, avec ainsi moins de risque de les perdre puis, vous pourriez allègrement formater ou ' Wiper' la partition C:/ seulement qui loge votre Windows malade.
Ce que j'ai toujours fais sur les machines que j'ai reçues chez-moi.
De plus, au lieu de mettre un mini D:/avec un 'Recovery' EOM inutile si non gravé, si il vous vendait le CD du système que vous 'louez' l'utilisation, alors les réinstallations seraient très faciles.
Et dernier point: Si vous ne possédez pas le CD de Windows car vous vous êtes fait passée une version piratée, soit le passeur est fautif, soit vous êtes le fautif.
Si vous êtes dans ce dernier cas et bien vous payez maintenant.
L'utilisation de killdisk est 'aux grands maux, les grands moyens' Celle-ci est très simple et là on sors la grosse artillerie !
Advenant le cas ou soit
----Vous ne vous sentez pas à l'aise de faire la méthode (1)
---- Dr Web a amputé des parties vitales au bon fonctionnement de la machine ( Ce qui est rare , mais possible, si le virus a
pénétré trop profond dans la machine),
---- Vous ne voulez pas du tout vous compliquer la vie et opter pour le format, alors vous devez savoir que :
----Comme cité précédemment, le format conventionnel connait des ratés à l'égard de Virut
----Que le format de bas niveau peut (Dans certains cas) mettre en danger le Bios
---- Que la méthode la plus efficace est l'utilisation de Killdisk
Si vous êtes prêt ? Alors on y va de celle-ci.
Mais attention !
Comme dans la première méthode
----Vous devez sauver vos précieux (Sans logiciels exécutables, ni de .Zip) ou les .scr en provenance de jeux nouvellement installés.
(Ne vous connectez sous aucun prétexte au Net) Arracher le fil du mur ! Non sans blague, débranchez-le ;-)
Utiliser comme la première méthode, 'une autre machine'
Passez ici et suivez simplement : Ici optionnel: Killdisk (Pour utilisation éventuelle, en cas d'échec de cette méthode ci-dessus)
Killdisk le tueur à gages: Killdisk tutoriel en
français ici: http://entraide.purforum.com/tutoriel-killdisk-simple-f40/tutoriel-killdisk-facile-t57.htmDernier point en cas d'impossibilité d'ouvrir Windows===========================================================================================
Si les virus ont crée davantage de dommage et que le 'Boot Sector' du PC est contrôlé par les malins, alors vous ne pourrez pas démarrer Windows, ni non plus en mode 'sans échec'.
Mais, un petit pingouin intelligent peut vous sortir de ce marasme ! 
Avec lui, vous aurez la possibilité d'entrer dans votre Windows 'assiégé' puis au minimum sauver vos documents !
Voici mon tutoriel sur la question ici:
http://www.commentcamarche.net/faq/sujet-15947-sauver-vos-documents-d-un-windows-mort-avec-un-cd-live-linux=========================================================================================Pour utilisateurs avancés seulementPetit + ici: Ayant accès aux entrailles de Windows via le CD live Linux, il est possible 'ayant bien identifié' les emplacements de Virut, comme le Volume/ restore, de nettoyer celui-ci.
Ou même de sacrifier un fichier système vital et qui bloque vos manoeuvres étant sous l'emprise de Virut.
Lequel fichier système peut aussi être remplacé par un sain en le téléchargeant via le Live de Linux et ainsi remplacer celui infecté
Attention !!!Comme indiqué :
Pour utilisateurs avancés================================================================================================
Avis de dernière heure, le 16 février 2009.Depuis quelques jour il y a apparition des nouvelles variantes, non
répertoriées par plusieurs outils anti-viraux, dont DrWeb, Kaspersky et
plusieurs autres.... Donc il est inutile de mentionner que le Wipe Killdisk est encore 'la seule vraie façon efficace de procéder si vous êtes aux prise avec ces nouvelles variantes, trop malignes.
Voici ici une liste très 'fragmentaire' des ces nouvelles variantes, ou 'appellations'
----W32.Virut.CF [Symantec]
----W32/Virut.n [McAfee]
----W32/Scribble-A [Sophos]
----Virus.Win32.Virut.q!IK
----W32/Virut.Gen Antivir
----W32/Virut.AI
----Win32.Virut.56 DrWeb ok---- Exemple ici du bon boulot de DrWeb
http://www.cijoint.fr/cjlink.php?file=cj200902/cij1KBuoUI.txt----Win32.HEURMalware
----Win32/Virut.17408
----Virus.Win32.Virut.ce
----Virus.Win32.Virut.CF1
----W32/Virut.n.gen
----Virus:Win32/Virut.BM
----Win32/Virut.NBK
----PE_VIRUX.A
Et voici ici ses points de prédilection pour infecter
http://www.threatexpert.com/report.aspx?md5=21137806ecfe485376d3b782e5b0bc2dJe ne voudrais pas être alarmiste mais il y a quelques semaines j'avais avisé qu'en plus 'Mydoom' un vers pas très comode avait fait une réapparition.
Et bien effectivement, il est devenu copain copain avec Virut sur plusieurs rapports que j'ai vu, dont un aujourd'hui le 17 février 2009
Il y en a qui ne chôment pas du côté 'obscure'et les perspectives sont assez sombres.
Faites donc le plus rapidement possible des sauvegardes de vos documents au cas ...
Car oui maintenant ils infectent le html, donc vos marque pages de Firefox exportés en sauvegardes ,sont aussi à supprimer.
Transcrivez-les au stylo si vous voulez , mais ne les sauvegardez pas sur aucun média.
Certains peuvent vous dire: Bah formates c tout et gardes aucun .exe, ou .scr, ou html...
Mais moi je vous dis: Killdisk et le Wipe total du disque dur et scans de tout ce qui a été connecté sur la machine, sinon passer Killdisk sur tous les périphériques.
Donc Killdisk sera de plus en plus populaire dans les temps moches qui vont survenir.... Tellement que vous devriez déjà le télécharger et le graver sur un cd ou une disquette, car même le logiciel lui-même et le serveur de son éditeur ne sont à l'abrit.
Ainsi vous posséderez une version pet-être moins à jour, mais propre assurément à date.
Jal
Sujet: Virut,Virtob,Sality,solutions, 
Ven 13 Fév - 6:58
