[Virus]W32/Xorala

[tangui]

[Y@kuz@]

tangui, pour ce genre de worm qui infecte petit à petit tous les exe, soit tu arrives à choper un fix chez Symantec ou securiser et démarrer en mode sans échec et lui faire la peau, souvent il a tellement infecté de fichiers qu'il est presque préfèrable de refaire une installation.

 

http://www3.ca.com/virusinfo/virus.aspx?ID=35068 =>

 

Win32.Valla.2048

Alias: W32.Valla.2048 (Symantec),

W32/Valla (McAfee),

Win32.Xorala (Kaspersky),

Win32/Valla.2048

Category: Win32

Type: Virus

Last Modified: 5/5/2003

Wild:

Destructiveness:

Pervasiveness:

 

 

CHARACTERISTICS

Win32.Valla.2048 is a Win32 direct infector virus that infects executable files in the Windows and System directories.

 

During infection, Valla.2048 adds a new section to target PE files named "XOR", and then fills it with the 2048 bytes of its own code.

 

Win32.Valla.2048 contains the following text that is never displayed to the user:

 

"-= XOR 2009 Valhalla =- Assembled 1997 .. Activated 07.2002 - devoted for peace and harmony in universe against war, racism, terrorism and cruel brutality .. remember .. life is the most important thing - not money .. it's time for a revolution NOW ...."

 

Analysis by Myles Jordan

 

 

//

 

http://www.symantec.com/avcenter/venc/data...valla.2048.html

Modifié le 4 juin 2003 par Y@kuz@

[O.Fournier]

Salut tout le monde, s'cusez j'étais ailleurs.

 

Antivirus sous DOS : F-PROT, là : http://www.f-prot.com/download/index.html (bas de page), excellent islandais !

Décompresser les trois zip dans un dossier créé direct à la racine : c:\f-prot.

 

Il peut être lancé par un disquette de démarrage (FAT32 : DOS 8 (Win ME) ou DR DOS, FREE DOS, etc ... sans oublier de créer un ramdisk de 4 Mo ou plus)...

 

 

Faire une disquette démarrage minimum (io.sys + config.sys réduit + autoexec.bat réduit)

Copier dans une 1ère autre disquette (f-prot1) ENGLISH.TX0 , F-PROT.EXE et SIGN2.DEF,

dans une 2ème disquette : SIGN.DEF. Le tout à jour bien sûr.

 

Reste plus qu'à redémarrer et copier ces quatre fichiers indispensables dans le ramdrive (on peut y rajouter macro.def (3ème disquette) pour les infections WinWord etc ...

 

Et, hop, on entre simlement R:\f-prot et on peut scanner (très vite !) tout l'ordi indépendamment des OS installés sur les DD.

 

Plus de détails si vous voulez..., ça paraît un peu long come ça mais en fait tout peut-être automatisé, même la ligne de commande f-prot qui a de nombreux commutateurs.

 

J'ai des disquettes toutes prêtes avec differentes configurations dont une simple spécialisée rapide ... pour DELINDEX aussi. Si ça vous intéresse je les mail ...

[tangui]

Je pense que j'ai reussi a l'avoir... Ce fut long et pénible, mais il est viré... En lancant bitdefender, je lui ai dit d'effacer (puisqu'il ne peut pas réparer) et ca a stoppé la profusion de ce vers... la j'ai telechargé PC-cillin, et je relance un scan au cas ou....

PS: klk1 connait un site qui a testé les antivirus??

[tangui]

Il est revenu, et je ne sais pas par ou il arrive... sauf que j'ai peut etre trouvé a l'instant!! j'ai cliquer sur poster, et hop! dans mon internet tempory mon antivirus l'a detecté... donc viendrait il de zeb??

ché pas koi faire pour le bloquer...

[Invité tesgaz]

tu peux changer de navigateur déja,

[tangui]

oui, mais j'aime bcp crazy browser et mozilla ca rame je trouve...

[Ender]

oui, mais j'aime bcp crazy browser et mozilla ca rame je trouve...

Salut tangui,

 

Essaye firebird. Tu ne trouveras pas plus rapide...

Mozilla Firebird

Modifié le 16 juin 2003 par Ender

[tangui]

oui, mais ca ne reglera pas mon pblme de sécurité... et si ca se trouve, d'autres zebulonniens ont ce virus ss le savoir...

[Invité tesgaz]

ce qui est certain, c'est qui reste toujours du code nocif dans ton PC !

 

t'as verifies tes contacts ?

 

 

 

 

() salut frerot