kaspersky+kerio laisse tout passer

[Rémi]

Tous les fichiers qe tu cite sont des archives, donc innoffensifs tant que tu ne les ouvres pas, et cela peut-être le pourquoi du fait que tes antivirus ne les trouvent pas. Dans certains AV il faut cocher une option pour scanner les archives.

[hebus]

c'est curieux quand meme des antivirus en ligne qui te force a surfer avec une pompe a virus (IE)

C'est parce qu'ils utilisent des contrôles active X pour s'exécuter sur ta machine -> marche qu'avec IE.

[qwer]

en tout cas rav antivirus les trouve et secuser non

[megataupe]

Normal que Secuser ou Norton ne les trouvent pas, ce sont des fichiers renommés et placés en quarantaine sur ton DD car, Netsky ne peut pas être supprimé (dixit F-Secure).

[qwer]

Netsky ne peu pas etre supprime !!? c'est genial ca !

[Y@kuz@]

tiens un outil pour virer les NetSky => Netsky.P

 

* Netsky.P est un virus qui se propage par email et via les dossiers partagés. Il se présente sous la forme d'un message au format texte ou HTML dont le titre et le corps sont aléatoires, accompagné d'un fichier joint dont l'extension est .SCR, .EXE, .PIF ou .ZIP (29 Ko), en se faisant passer notamment pour un message d'erreur ou un message sécurisé. Si l'ordinateur n'est pas à jour dans ses correctifs, la simple ouverture ou prévisualisation du message HTML provoque l'exécution du fichier joint. Si ce dernier est exécuté, le virus s'envoie aux adresses présentes dans le carnet d'adresses Windows et divers autres fichiers du disque, puis se copie dans les dossiers partagés.

 

** FXNetsky ( 148Ko) : détecte et élimine les virus Netsky.B, Netsky.C, Netsky.D, Netsky.E, Netsky.J/K, Netsky.P, Netsky.Q, Netsky.S, Netsky.T, Netsky.X et Netsky.Y, Netsky.Z et Netsky.AB.

 

http://securityresponse.symantec.com/avcenter/FxNetsky.exe

Modifié le 15 juillet 2004 par Y@kuz@

[megataupe]

Voici ce qu'en dit F-Secure (Netsky étant un virus-mail jusqu'à plus ample informé) :

 

Les versions actuelles de F-Secure Anti-Virus, F-Secure Internet Security ou F-Secure Anti-Virus Client Security ne permettent pas de supprimer des virus du fichier de la boîte aux lettres. L'utilisation de la fonction d'analyse de messagerie électronique avec F-Secure Anti-Virus 2004, F-Secure Internet Security 2004 ou F-Secure Anti-Virus Client Security évite que les virus n'affectent en premier le fichier de la boîte aux lettres.

[Y@kuz@]

Virus

Netsky.P

Netsky.P est un virus qui se propage par email et via les dossiers partagés. Il se présente sous la forme d'un message au format texte ou HTML dont le titre et le corps sont aléatoires, accompagné d'un fichier joint dont l'extension est .SCR, .EXE, .PIF ou .ZIP (29 Ko), en se faisant passer notamment pour un message d'erreur ou un message sécurisé. Si l'ordinateur n'est pas à jour dans ses correctifs, la simple ouverture ou prévisualisation du message HTML provoque l'exécution du fichier joint. Si ce dernier est exécuté, le virus s'envoie aux adresses présentes dans le carnet d'adresses Windows et divers autres fichiers du disque, puis se copie dans les dossiers partagés.

 

 

PREVENTION :

Les utilisateurs concernés doivent mettre à jour leur antivirus. En cas de doute, les utilisateurs d'Internet Explorer doivent aussi mettre à jour leur navigateur via le site de Microsoft ou le service WindowsUpdate afin de corriger la faille exploitée par le virus pour s'exécuter automatiquement.

 

DESINFECTION :

Avant de commencer la désinfection, il est impératif de s'assurer avoir appliqué les mesures préventives ci-dessus afin d'empêcher toute réinfection de l'ordinateur par le virus. Les utilisateurs ne disposant pas d'un antivirus peuvent utiliser gratuitement l'utilitaire de désinfection FxNetsky pour rechercher et éliminer le virus.

 

TYPE :

Ver

 

SYSTEME(S) CONCERNE(S) :

Windows 95

Windows 98

Windows Me

Windows NT

Windows 2000

Windows XP

Windows 2003

 

ALIAS :

NetSky.P (F-Secure)

I-Worm.Moodown.q (Kaspersky)

I-Worm.Netsky.q (Kaspersky)

W32/Netsky.p@MM (McAfee)

W32/Netsky.P.worm (Panda Software)

W32/Netsky-P (Sophos)

W32.Netsky.P@mm (Symantec)

WORM_NETSKY.P (Trend Micro)

Worm.SomeFool.P

W32.Netsky.Q@mm

 

TAILLE :

29.568 octets

 

DECOUVERTE :

21/03/2004

 

DESCRIPTION DETAILLEE :

Le virus Netsky.P est une variante du virus Netsky.D. Il se présente sous la forme d'un message dont le titre, le corps et le nom du fichier joint sont aléatoires. Les titres de message :

 

* Stolen document

* Re:Hello

* Mail Delivery ( failure [votre adresse email])

* Private document

* Re:Notify

* Re:document

* Re:Extended Mail System

* Re:Proctected Mail System

* Re:Question

* Private document

* Postcard

* Re: Encrypted Mail

* Re: Extended Mail

* Re: Status

* Re: Notify

* Re: SMTP Server

* Re: Mail Server

* Re: Delivery Server

* Re: Bad Request

* Re: Failure

* Re: Thank you for delivery

* Re: Test

* Re: Administration

* Re: Message Error

* Re: Error

* Re: Extended Mail System

* Re: Secure SMTP Message

* Re: Protected Mail Request

* Re: Protected Mail System

* Re: Protected Mail Delivery

* Re: Secure delivery

* Re: Delivery Protection

* Re: Mail Authentification

* Re: Encrypted Mail

* Re: Extended Mail

* Re: Status

* Re: Notify

* Re: SMTP Server

* Re: Mail Server

* Re: Delivery Server

* Re: Bad Request

* Re: Failure

* Re: Thank you for delivery

* Re: Test

* Re: Administration

* Re: Message Error

* Re: Error

* Re: Extended Mail System

* Re: Secure SMTP Message

* Re: Protected Mail Request

* Re: Protected Mail System

* Re: Protected Mail Delivery

* Re: Secure delivery

* Re: Delivery Protection

* Re: Mail Authentification

 

Le corps du message est un court texte en anglais destiné à inciter l'internaute à ouvrir le fichier joint :

 

* Important message, do not show this anyone!

* Your important document, correction is finished!

* The sample is attached!

* I hope you accept the result!

* Please answer quickly!

* Please confirm!

* Are you a spammer? (I found your email on a spammer website!?!)

* I have visited this website and I found you in the spammer list. Is that true?

* Here is my phone number.

* Here is my icq list.

* You have downloaded these illegal cracks?.

* Do not visit this illegal websites!

* Here is it

* Try this, or nothing!

* Let'us be short: you have no experience in writing letters!!!

* I am shocked about your document!

* You cannot do that!

* Shocking document

* Thanks!

* Thank you for your request, your details are attached!

* Please answer quickly!

* Please confirm!

* You have written a very good text, excellent, good work!

* Your photo, uahhh.... , you are naked!

* Does it matter?

* Do you?

* Monthly news report.

* Your archive is attached.

* I cannot forget you!

* I love you!

* The sample is attached!

* I hope you accept the result!

* I have attached the sample.

* I have corrected your document.

* The file is protected with the password ghj001.

* I have attached your file. Your password is jkl44563.

* I cannot believe that.

* I found this document about you.

* I hope the patch works.

* Message has been sent as a binary attachment.

* Binary message is available.

* I have attached it to this mail.

* Can you confirm it?

* Is that your password?

* Protected message is attached.

* Encrypted message is available.

* Mail Authentication

* Protected Mail System

* ESMTP [secure Mail System #334]: Secure message is attached.

* Partial message is available.

* Waiting for a Response. Please read the attachment.

* First part of the secure mail is available.

* For more details see the attachment.

* For further details see the attachment.

* Your requested mail has been attached.

* Protected Mail System Test.

* Secure Mail System Beta Test.

* Forwarded message is available.

* Delivered message is attached.

* Encrypted message is available.

* Please read the attachment to get the message.

* Follow the instructions to read the message.

* Please authenticate the secure message.

* Protected message is attached.

* Waiting for authentification.

* Protected message is available.

* Bad Gateway: The message has been attached.

* SMTP: Please confirm the attached message.

* You got a new message.

* Now a new message is available.

* New message is available.

* You have received an extended message. Please read the instructions.

* Your details.

* Your document.

* I have received your document. The corrected document is attached.

* I have attached your document.

* Your document is attached to this mail.

* Authentication required.

* Requested file.

* See the file.

* Please read the important document.

* Please confirm the document.

* Your file is attached.

* Please read the document.

* Your document is attached.

* Please read the attached file!

* Please see the attached file for details.

* read it immediately

* The file is protected with the password ghj001.

* I have attached your file. Your password is jkl44563.

* The sample file you sent contains a new virus version of mydoom.j.

Please clean your system with the attached signature.

Sincerly,

Robert Ferrew

* The sample file you sent contains a new virus version of buppa.k.

Please update your virus scanner with the attached dat file.

Best Regards,

Keria Reynolds

 

Le corps du message se termine souvent par une fausse certification affirmant que le message est sain et dépourvu de virus :

 

* +++ Attachment: No Virus found

+++ MessageLabs AntiVirus - www.messagelabs.com

* +++ Attachment: No Virus found

+++ Bitdefender AntiVirus - www.bitdefender.com

* +++ Attachment: No Virus found

+++ MC-Afee AntiVirus - www.mcafee.com

* +++ Attachment: No Virus found

+++ Kaspersky AntiVirus - www.kaspersky.com

* +++ Attachment: No Virus found

+++ Panda AntiVirus - www.pandasoftware.com

* ++++ Attachment: No Virus found

++++ Norman AntiVirus - www.norman.com

* ++++ Attachment: No Virus found

++++ F-Secure AntiVirus - www.f-secure.com

* ++++ Attachment: No Virus found

++++ Norton AntiVirus - www.symantec.de

 

La pièce jointe possède un nom aléatoire et une extension en .SCR, .EXE, .PIF ou .ZIP :

 

* websites[nombre aléatoire].zip

* document[nombre aléatoire].zip

* your_document.zip

* part[nombre aléatoire].zip

* message.doc.scr

* message.zip

* document.zip

* old_photos.txt.pif

* postcard_.[nombre aléatoire]..zip

* details[nombre aléatoire].zip

 

Le message au format HTML exploite la vulnérabilité MS01-020 d'Internet Explorer 5.01 et 5.5 (09/03/01) : si l'ordinateur n'est pas à jour dans ses correctifs de sécurité, la simple ouverture ou prévisualisation du message provoque l'exécution du fichier joint. Si le fichier joint est exécuté, le virus se copie dans le répertoire Windows sous le nom FVProtect.exe, copie également les fichiers userconfig9x.dll, base64.tmp, zip1.tmp, zip2.tmp, zip3.tmp et zipped.tmp (des copies de lui-même) dans ce répertoire, modifie la base de registres pour être exécuté à chaque démarrage de l'ordinateur, puis s'envoie aux contacts dont les adresses figurent dans le carnet d'adresses Windows (.WAB) ainsi que les fichiers .ADB, .ASP, .CGI, .DBX, .DHTM, .DOC, .EML, .JSP, .HTM, .HTML, .MSG, .OFT, .PHP, .PL, .RFT, .SHT, .SHTM, .TBB, .TXT, .UIN, .VBS, .WSH et .XML des disques C à Z, en utilisant comme adresse d'expéditeur une adresse usurpée ou falsifiée mais en évitant les adresses dont le nom de domaine contient "abuse", "fbi", "orton, "f-pro", "aspersky", "cafee", "orman", "itdefender", f-secur", "avp", "skynet", "spam", "messagelabs", "ymantec", "antivi" et "icrosoft".

 

FVProtect.exe est un composant "dropper" qui lorsqu'il est exécuté créé puis charge en mémoire le composant principal du virus présent dans le fichier userconfig9x.dll, responsable de l'envoi massif de messages contaminés. Netsky.P supprime plusieurs clés de la base de registres, notamment pour désactiver certaines variantes des virus Bagle, Nachi, et Mydoom, puis tente de se propager via les dossiers partagés se copiant dans les répertoires dont le nom comporte le mot "bear", "donkey", "download", "ftp", "htdocs", "http", "icq", "kazaa", "lime", "morpheus", "mule", "my shared folder", "shar", "shared files" ou "upload" sous divers noms aguicheurs :

 

* 1001 Sex and more.rtf.exe

* 3D Studio Max 6 3dsmax.exe

* ACDSee 10.exe

* Adobe Photoshop 10 crack.exe

* Adobe Photoshop 10 full.exe

* Adobe Premiere 10.exe

* Ahead Nero 8.exe

* Altkins Diet.doc.exe

* American Idol.doc.exe

* Arnold Schwarzenegger.jpg.exe

* Best Matrix Screensaver new.scr

* Britney sex xxx.jpg.exe

* Britney Spears and Eminem porn.jpg.exe

* Britney Spears blowjob.jpg.exe

* Britney Spears cumshot.jpg.exe

* Britney Spears fuck.jpg.exe

* Britney Spears full album.mp3.exe

* Britney Spears porn.jpg.exe

* Britney Spears Sexy archive.doc.exe

* Britney Spears Song text archive.doc.exe

* Britney Spears.jpg.exe

* Britney Spears.mp3.exe

* Clone DVD 6.exe

* Cloning.doc.exe

* Cracks & Warez Archiv.exe

* Dark Angels new.pif

* Dictionary English 2004 - France.doc.exe

* DivX 8.0 final.exe

* Doom 3 release 2.exe

* E-Book Archive2.rtf.exe

* Eminem blowjob.jpg.exe

* Eminem full album.mp3.exe

* Eminem Poster.jpg.exe

* Eminem sex xxx.jpg.exe

* Eminem Sexy archive.doc.exe

* Eminem Song text archive.doc.exe

* Eminem Spears porn.jpg.exe

* Eminem.mp3.exe

* Full album all.mp3.pif

* Gimp 1.8 Full with Key.exe

* Harry Potter 1-6 book.txt.exe

* Harry Potter 5.mpg.exe

* Harry Potter all e.book.doc.exe

* Harry Potter e book.doc.exe

* Harry Potter game.exe

* Harry Potter.doc.exe

* How to hack new.doc.exe

* Internet Explorer 9 setup.exe

* Kazaa Lite 4.0 new.exe

* Kazaa new.exe

* Keygen 4 all new.exe

* Learn Programming 2004.doc.exe

* Lightwave 9 Update.exe

* Magix Video Deluxe 5 beta.exe

* Matrix.mpg.exe

* Microsoft Office 2003 Crack best.exe

* Microsoft WinXP Crack full.exe

* MS Service Pack 6.exe

* netsky source code.scr

* Norton Antivirus 2005 beta.exe

* Opera 11.exe

* Partitionsmagic 10 beta.exe

* Porno Screensaver britney.scr

* RFC compilation.doc.exe

* Ringtones.doc.exe

* Ringtones.mp3.exe

* Saddam Hussein.jpg.exe

* Screensaver2.scr

* Serials edition.txt.exe

* Smashing the stack full.rtf.exe

* Star Office 9.exe

* Teen Porn 15.jpg.pif

* The Sims 4 beta.exe

* Ulead Keygen 2004.exe

* Visual Studio Net Crack all.exe

* Win Longhorn re.exe

* WinAmp 13 full.exe

* Windows 2000 Sourcecode.doc.exe

* Windows 2003 crack.exe

* Windows XP crack.exe

* WinXP eBook newest.doc.exe

* XXX hardcore pics.jpg.exe

 

source : http://www.secuser.com/alertes/2004/netskyp.htm

 

il existe bien un remover de NetSky => http://securityresponse.symantec.com/avcenter/FxNetsky.exe

 

te voilà plus informé.

[megataupe]

Merci, mais ça c'est quand tu as déjà attrapé le virus. Avec F-Secure, je peux t'affirmer qu'il est intercepté et renommé lors de son arrivée dans ma BAL.

[qwer]

ah mais avec les autres aussi seulement il y est et il y est plus

 

je viens d'essayer l'outil de symantec le w32.Netsky Fixtool il trouve RIEN ....

 

content je rescanne avec

 

 

http://www.ravantivirus.com/scan/indexie.php

 

 

resultat >>>

 

Scan started at 15/07/2004 21:24:17

 

Scanning memory...

Scanning boot sectors...

Scanning files...

C:\Documents and Settings\Administrateur\Application Data\Thunderbird\Profiles\default\Mail\mail.qwer-1.com\Inbox->(part0035:text01.zip)->document.txt .exe - Win32/Netsky.P@mm -> Infected

C:\Documents and Settings\Administrateur\Application Data\Thunderbird\Profiles\default\Mail\mail.qwer-1.com\Inbox->(part0065:report01.zip)->document.txt .exe - Win32/Netsky.P@mm -> Infected

C:\Documents and Settings\Administrateur\Application Data\Thunderbird\Profiles\default\Mail\mail.qwer.com\Inbox->(part0051:)->(part0002:your_archive.pif) - Win32/Netsky.D@mm -> Infected

C:\Documents and Settings\Administrateur\Application Data\Thunderbird\Profiles\default\Mail\mail.qwer.com\Inbox->(part0058:letter.zip)->data.rtf .scr - Win32/Netsky.P@mm -> Infected

C:\Documents and Settings\Administrateur\Application Data\Thunderbird\Profiles\default\Mail\mail.qwer.com\Inbox->(part0061:websitelist01.zip)->document.txt .exe - Win32/Netsky.P@mm -> Infected

C:\Documents and Settings\Administrateur\Application Data\Thunderbird\Profiles\default\Mail\mail.qwer.com\Inbox->(part0068:)->(part0002:your_document.pif) - Win32/Netsky.D@mm -> Infected

C:\Documents and Settings\Administrateur\Application Data\Thunderbird\Profiles\default\Mail\mail.qwer.com\Inbox->(part0074:email.zip)->data.rtf .scr - Win32/Netsky.P@mm -> Infected

C:\Documents and Settings\Administrateur\Application Data\Thunderbird\Profiles\default\Mail\pop.laposte.net\Inbox->(part0123:)->(part0002:document01.zip)->document.txt .exe - Win32/Netsky.P@mm -> Infected

C:\Documents and Settings\Administrateur\Application Data\Thunderbird\Profiles\default\Mail\pop.laposte.net\Inbox->(part0273:document_full.pif) - Win32/Netsky.D@mm -> Infected

C:\Documents and Settings\Administrateur\Application Data\Thunderbird\Profiles\default\Mail\pop.laposte.net\Sent->(part0006:mails_virus.zip)->mails_virus/Inbox->(part0123:)->(part0002:document01.zip)->document.txt ... - Win32/Netsky.P@mm -> Infected

C:\Documents and Settings\Administrateur\Application Data\Thunderbird\Profiles\default\Mail\pop.laposte.net\Sent->(part0006:mails_virus.zip)->mails_virus/Inbox->(part0273:document_full.pif) - Win32/Netsky.D@mm -> Infected

C:\Documents and Settings\Administrateur\Application Data\Thunderbird\Profiles\default\Mail\pop.laposte.net\Sent->(part0006:mails_virus.zip)->mails_virus/Inbox_1->(part0051:)->(part0002:your_archive.pif) - Win32/Netsky.D@mm -> Infected

C:\Documents and Settings\Administrateur\Application Data\Thunderbird\Profiles\default\Mail\pop.laposte.net\Sent->(part0006:mails_virus.zip)->mails_virus/Inbox_1->(part0058:letter.zip)->data.rtf ... - Win32/Netsky.P@mm -> Infected

C:\Documents and Settings\Administrateur\Application Data\Thunderbird\Profiles\default\Mail\pop.laposte.net\Sent->(part0006:mails_virus.zip)->mails_virus/Inbox_1->(part0061:websitelist01.zip)->document.txt ... - Win32/Netsky.P@mm -> Infected

C:\Documents and Settings\Administrateur\Application Data\Thunderbird\Profiles\default\Mail\pop.laposte.net\Sent->(part0006:mails_virus.zip)->mails_virus/Inbox_1->(part0068:)->(part0002:your_document.pif) - Win32/Netsky.D@mm -> Infected

C:\Documents and Settings\Administrateur\Application Data\Thunderbird\Profiles\default\Mail\pop.laposte.net\Sent->(part0006:mails_virus.zip)->mails_virus/Inbox_1->(part0074:email.zip)->data.rtf ... - Win32/Netsky.P@mm -> Infected

C:\Documents and Settings\Administrateur\Application Data\Thunderbird\Profiles\default\Mail\pop.laposte.net\Sent->(part0006:mails_virus.zip)->mails_virus/Inbox_2->(part0035:text01.zip)->document.txt ... - Win32/Netsky.P@mm -> Infected

C:\Documents and Settings\Administrateur\Application Data\Thunderbird\Profiles\default\Mail\pop.laposte.net\Sent->(part0006:mails_virus.zip)->mails_virus/Inbox_2->(part0065:report01.zip)->document.txt ... - Win32/Netsky.P@mm -> Infected

 

Scanned

============================

Objects: 94

Directories: 14

Archives: 13

Size(Kb): 16266

Infected files: 18

 

Found

============================

Viruses found: 2

Suspicious files: 0

Disinfected files: 0

Mail files: 192

 

 

 

il y en a encore plus qu'avant

je me demande si antivirus et virus c'est pas un peu comme Bush et la famille Ben Laden

 

suivez mon regard

Modifié le 15 juillet 2004 par qwer