Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Virus qui bloque les exe

eikichi

Par eikichi
dans Analyses et éradication malwares

 Partager

Messages recommandés

ipl_001 Devil Member !

ipl_001

Posté(e)
Posté(e)

Bonjour woulzy, charles ingals, bonjour à tous,

 

Ce virus est connu de McAfee sous le nom de W32/Gael.worm.a -> http://vil.nai.com/vil/content/v_134857.htm

 

Si tu veux effectuer des recherches, tu as besoin de connaître ses alias :

- W32/Gael.worm.a

- W32/Gael

- W32/Gael.A

- Win32.Gael.3666

- Win32/Gael

- Win32/Gaelicum.A

 

- Virus.Win32.Tenga.A (AVP)

- Win32/Tenga.A

- Tenga

- Virus.Win32.Tenga.a

- W32/Tenga-A

- Win32/Tenga.A

- Tenga.A

 

- W32.Licum (Symantec)

 

- GenPack:Backdoor.Robobot.AF

- Trojan.Robobot.Ah

 

- W32/Stanit

 

 

 

Sur la page de McAfee ( http://vil.nai.com/vil/content/v_134857.htm ), tu as quelques éléments intéressants :

Sa découverte date du 13 juillet 2005

Virus Characteristics:

 

This detection covers a parasitic worm virus that spreads to both host executables as well as over accessible systems on a network.  The worm also downloads and executes other files.

 

When run, the worm infects .EXE files on the local system, appending itself to host files.  10 threads are created to search for infectable computers on the Internet, SYN packets are sent to random IP addresses on TCP 139 (netbios).  The worm then attempts to connect to responding systems via the IPC$ and open shares to parasitically infect files remotely.

 

The worm also attempts to download and execute a file name dl.exe from utenti.lycos.it .  At the time of this writing the site was not responding.  However, the virus was known to fetch a downloader trojan, Downloader-ACX, which downloaded two other files:

 

    * GAELICUM.EXE - dropper of W32/Gael.worm

    * CBACK.EXE - a new remote access trojan, BackDoor-CTM

 

Symptoms

 

- Excessive netbios traffic emanating from infected system

- Presence of DL.EXE, GAELICUM.EXE, and CBACK.EXE

 

The virus does not create any registry keys or in any other way "install" itself to automatically start on system reboot.

 

Method Of Infection

This virus spreads via accessible network shares and by parasitically infecting existng executable files.

 

Removal Instructions

All Users :

Use current engine and DAT files for detection and removal.

 

Close the shares created by this threat:

 

    * From the desktop, double-click My Computer

    * Right-click on the C: drive and choose Sharing...

    * Click the Not Shared button (or enter in the desired settings) and click OK

 

Additional Windows ME/XP removal considerations

ipl_001 Devil Member !

ipl_001

Posté(e)
Posté(e)

Rebonjour woulzy, charles ingals, rebonjour à tous,

 

Egalement, cette page d'Enciclopedia Virus ( http://www.enciclopedia-virus.com/virus/vervirus.php?id=2235 ) :

>    INFORMACION

Virus que infecta todos los ejecutables de Windows, en todas las unidades mapeadas de discos del equipo infectado, a excepción de la unidad A.

 

CARACTERISTICAS

 

 

Cuando se ejecuta intenta infectar ejecutables en recursos compartidos de redes.

 

También intenta infectar archivos via NetBIOS, y direcciones IP al azar, a través del puerto TCP 139.

 

Utiliza la vulnerabilidad en el componente Remote Procedure Call (RPC), el cuál permite el intercambio de información entre equipos en Windows NT 4.0, 2000 y XP.

 

Esta vulnerabilidad fue corregida por Microsoft en el boletín de seguridad MS03-026 y posteriores:

 

  Vulnerabilidad RPC/DCOM: MS03-026

http://www.microsoft.com/security/security...ns/MS03-026.asp

 

El virus intenta descargar y ejecutar un archivo desde un servidor remoto, este es detectado por como Win32/Small.GL.

 

También puede recibir líneas de comandos de un atacante remoto, desde un servidor predefinido.

 

Finalmente, también intenta desactivar las protecciones de archivos de Windows.

 

 

 

INSTRUCCIONES PARA ELIMINARLO

 

 

1. Desactive la restauración automática en Windows XP/ME.

 

2. Reinicie en Modo a prueba de fallos.

 

3. Ejecute un antivirus actualizado y tome nota de los archivos infectados antes de eliminarlos.

 

4. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del troyano.

ipl_001 Devil Member !

ipl_001

Posté(e)
Posté(e)

Re,

 

Troisième document sur le sujet

http://www.pcreview.co.uk/forums/thread-2022008-1.php

et cet intéressant post :

Scott Bolander

Guest

 

Posts: n/a

 

Default New virus - VERY DANGEROUS!

Nod32 does not know what it is, but sees it as a "Unknown win32 virus"

and it still stops it.

 

This virus replaces nearly ALL of the exe files on a machine with virus

infected files. Most AV products do not detect it; McAfee discovered it

yesterday.

 

This ended up on three machines yesterday at a client of mine; I had not

been out in quite a while (he is incredibly cheap) so all his stuff was

out of date or broken. His Norton AV would not have caught it anyway.

 

 

FYI:

 

AntiVir 6.31.0.9 07.14.2005 W32/Stanit

AVG 718 07.14.2005 Win32/Gaelicum.A

Avira 6.31.0.9 07.14.2005 W32/Stanit

BitDefender 7.0 07.14.2005 no virus found

CAT-QuickHeal 7.03 07.14.2005 no virus found

ClamAV devel-20050501 07.14.2005 no virus found

DrWeb 4.32b 07.14.2005 Win32.Gael.3666

eTrust-Iris 7.1.194.0 07.13.2005 no virus found

eTrust-Vet 11.9.1.0 07.14.2005 no virus found

Fortinet 2.36.0.0 07.14.2005 suspicious

F-Prot 3.16c 07.14.2005 could be infected with an unknown virus

Ikarus 2.32 07.14.2005 no virus found

Kaspersky 4.0.2.24 07.14.2005 Virus.Win32.Tenga.a

McAfee 4535 07.14.2005 W32/Gael

NOD32v2 1.1168 07.14.2005 probably unknown WIN32 virus

Norman 5.70.10 07.14.2005 no virus found

Panda 8.02.00 07.14.2005 no virus found

Sybari 7.5.1314 07.14.2005 W32/Gael

Symantec 8.0 07.13.2005 no virus found

TheHacker 5.8.2.070 07.13.2005 no virus found

VBA32 3.10.4 07.14.2005 no virus found

Lisez la suite de la discussion de 7 pages...
  • 2 mois après...
christian 81 Junior Member

christian 81

Posté(e)
Posté(e)
Salut, j'ai un pote qui a chopé ce virus  Win32.Gael.3666 donc il ne peut plus ce servir de  tous les exécutables, son AV bitdefender n'arrive pas à le virer.

Comment éradiquer cette saloperie? Merci

541421[/snapback]

 

bonjour

 

j'ai attrape le meme virus,mais je ne peux pas utiliser le lien de krystyna qui est pour windows xp

 

ma machine esy un vieux portable avec windows 98 2 eme edit et je ne peux plus rien faire avec

 

je dispose par contre d'un nouvel ordinateur et je voudrai trouver quelque chose a enregistrer sur cd pour le passer sur l'ancien

 

comment faire ?

 

merci

  • 1 mois après...
HeAdLeSs Full Patch Member

HeAdLeSs

Posté(e)
Posté(e)

Bonsoir à tous,

 

 

Je viens d'avoir une alerte de mon antivirus comme quoi je serais contaminé par ce Win32.Gael.3666.

 

L'alerte est apparue via le scan résident de BitDefender (version 9) dans une popup qui ne me propose aucune action... Je lance une analyse complete et minutieuse dans la foulée et il ne trouve rien. J'installe dr.web en version demo et il ne trouve rien. Je fais les scan en ligne (2 dont secuser) et toujours rien... Cependant, lorsque je laisse tourner la machine avec le scan resident au bout d'un moment j'ai le message d'alerte qui réapparait. C'est à n'y rien comprendre.

 

Quelqu'un a-t-il une idée ?

 

 

Merci et bonne soirée !

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...