Bonjour W32/Magistr-B Alias: W32/Magistr.B@MM, I-Worm.Magistr.b.poly, PE_MAGISTR.B, W32.Magistr.39921@mm Il s'agit d'un ver/virus polymorphe assez recent.Pour l'instant nous n'avons pas recu de rapports nous signalant des cas d'infections causes par ce ver mais certains editeurs d'antivirus disent en avoir deja observe plusieurs. Un virus polymorphe est un virus qui change tout le temps de signature virale. Il est assez difficile a reconnaitre. http://www.symantec.com/region/fr/resources/virus_def.html#polymorphe W32/Magistr-B est une variante du ver W32/Magistr-A: http://www.sarc.com/avcenter/venc/data/w32.magistr.24876@mm.html Comme son predecesseur, W32/Magistr-B se propage au moyen de la messagerie ectronique: Eudora, Outlook Express, Netscape (Navigator, Mail et News) sont pour lui des clients de choix. Le ver recherchera les adresses de ses nouvelles cibles dans les carnets d'adresse, les boites aux lettres... Nous n'avons pas d'information sur le contenu, ni sur le sujet du message recu. Tout cela est totalement aleatoire. De meme que le nom et l'extension du fichier joint. Il s'agira d'un fichier de type executable. Se mefier plus particulierement des extensions de fichier .COM, .BAT, .PIF and .EXE Une fois execute, le virus est susceptible d'effacer les informations contenues dans le bios, le circuit CMOS, le disque dur, d'infecter des fichiers executables... W32/Magistr-B se distingue de W32/Magistr-A surtout par les points suivants: Il: - prend en compte le carnet d'adresse de la messagerie Eudora - fouille les repertoires WINNT, WINDOWS, WIN95, WIN98, mais WINME, aussi WIN2000, WIN2K, WINXP a la recherche de fichiers a infecter - stoppe le firewall ZoneAlarm s'il est actif - modifie le fichier SYSTEM.INI de facon a etre relance a chaque demarrage - envoie par courrier electronique des fichiers .GIF trouves sur le systeme infecte en meme temps qu'une copie de lui meme - modifie les fichiers ntldr and win.com de facon a endommager le secteur du disque permettant le demarrage du systeme - utilise une technique de chiffrement plus complexe Des listes d'extensions de fichiers executables sont disponibles: http://www.techtv.com/callforhelp/projects/jump/0,23009,3015162,00.html http://www.cknow.com/vtutor/vtextensions.htm Une mise au jour des logiciels antivirus est absolument necessaire. Consulter le site Internet de votre editeur d'antivirus pour vous assurer que cette menace est bien deja reconnue par votre anti-virus. Il est primordial que chaque poste utilisateur soit equipe d'un logiciel antivirus regulierement mis au jour. Il est tres important de se mefier des pieces jointes dans la messagerie electronique. Ne pas les ouvrir quand on peut s'en passer. Verifier autant que possible la legitimite de l'envoi. Se mefier des messages non sollicites vous invitant a ouvrir la piece jointe, des patchs, correctifs logiciels, upgrade envoyes par courrier electronique.... Si l'utilisateur veut/doit ouvrir la piece jointe, une marche a suivre recommandee pourrait etre la suivante: -sauvegarder la piece jointe sur le disque dans le repertoire de votre choix -si l'antivirus detecte un virus, il le signalera; le fichier devra etre elimine -sinon l'utilisateur pourra ouvrir le fichier Cette manoeuvre n'apporte qu'une securite relative. Elle n'est efficace que si le logiciel antivirus est tres regulierement mis au jour. N'oublions pas cependant qu'il existe toujours des nouveaux virus inconnus des logiciels antivirus. La meilleure ligne de conduite reste encore la plus grande mefiance. Evitez d'ouvrir les pieces jointes quand ce n'est pas necessaire. References: http://www.symantec.com/avcenter/venc/data/w32.magistr.39921@mm.html http://www.sophos.com/virusinfo/analyses/w32magistrb.html http://vil.nai.com/vil/virusSummary.asp?virus_k=99199 Cordialement,