Accueil Actualités Documentation Téléchargement Vulnérabilités Phishing Hoax Virus Antivirus en ligne Contact
 
Secuser.com
 
GENERAL
Actualité du jour
Lettres d'information
Recommander ce site
Signaler un incident
Nous écrire
 
VIRUS
Alertes virus
Dossiers virus
Alertes par email
Antivirus gratuits
Antivirus en ligne
Désinfection
FAQ virus
 
PROTECTION
Alertes sécurité
Dossier firewall
Alertes par email
Firewalls gratuits
Scanner de ports
Antirootkits gratuits
Traceur IP/domaine
Windows Update
FAQ sécurité
 
PHISHING
Alertes phishing
Logiciels antiphishing
FAQ phishing
 
SPAM
Dossier spammning
Logiciels antispam
FAQ spam
 
VIE PRIVEE
Paiements en ligne
Dossier spywares
Antispywares gratuits
Vos traces sur le Net
FAQ vie privée
 
HOAX
Alertes hoax
Dossier hoax
Dossier viroax
Antihoax en ligne
FAQ hoax
 
NEWSLETTER
Recevez chaque semaine la lettre de Secuser.com :
 
 
ALERTE CONTAMINATION

Virus
Ganda.A

Ganda.A est un virus qui se propage par email. Il se présente sous la forme d'un message dont le titre et le nom du fichier joint sont aléatoires, en se faisant passer pour un économiseur d'écran sur la guerre en Irak ou d'autres sujets polémiques. Si le fichier joint est exécuté, le virus s'envoie à toutes les adresses récupérées notamment dans le carnet d'adresses et les pages web présentes sur le disque dur, modifie les fichiers .EXE et .SCR, puis tente de désactiver certains antivirus et firewalls personnels.
 

PREVENTION :
Les utilisateurs concernés doivent mettre à jour leur antivirus. En cas de doute, les utilisateurs d'Internet Explorer 5.01 et 5.5 doivent aussi mettre à jour leur navigateur via le site de Microsoft ou le service WindowsUpdate afin de corriger la faille exploitée par le virus pour s'exécuter automatiquement.

DESINFECTION :
Avant de commencer la désinfection, il est impératif de s'assurer avoir appliqué les mesures préventives ci-dessus afin d'empêcher toute réinfection de l'ordinateur par le virus. Les utilisateurs ne disposant pas d'un antivirus peuvent utiliser gratuitement l'utilitaire de désinfection AntiGanda pour rechercher et éliminer le virus.

TYPE :
Ver + Infecteur de fichiers

SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP

ALIAS :
 Win32.Ganda.A (Computer Associates)
W32/Ganda@mm (F-Secure)
I-Worm.Ganda (Kaspersky)
W32/Ganda@MM (McAfee)
W32/Densux (Panda Software)
W32/Ganda-A (Sophos)
W32.Ganda.A@mm (Symantec)
PE_GANDA.A (Trend Micro)
WORM.SwedenSux
Myzli

TAILLE :
45.056 octets

DECOUVERTE :
17/03/2003

DESCRIPTION DETAILLEE :
Le virus se présente sous la forme d'un message dont le titre, le corps et le nom du fichier joint sont aléatoires, en anglais ou en suédois. Les titres de messages possibles :

  • Screensaver advice.
  • Spy pics.
  • GO USA !!!!
  • G.W Bush animation.
  • Is USA a UFO?
  • Is USA always number one?
  • LINUX.
  • Nazi propaganda?
  • Catlover.
  • Disgusting propaganda.
  • Olaglig_skärmsläckare?
  • Rashets eller inte?
  • Hakkors.
  • Suspekta semaforer.
  • Avskyvärd_reklam.
  • Överviktiga_förnedras.
  • Go ack ack ack....
  • Är_USA_ett_UFO?
  • Korkad president.
  • Katt, hund, kanin.

La pièce jointe possède un nom aléatoire composé de deux lettres et d'une extension en .SCR :

  • QU.SCR
  • RG.SCR
  • PW.SCR
  • AB.SCR
  • XY.SCR

Ganda.A utilise une vulnérabilité IFRAME des navigateurs Internet Explorer 5.01 et 5.5 non à jour dans leurs correctifs (MS01-020) pour s'exécuter automatiquement à l'ouverture du message ou lors de son affichage dans la fenêtre de prévisualisation avec les logiciels Outlook ou Outlook Express.

Si le fichier joint est exécuté, le virus se copie dans le répertoire Windows sous le nom SCANDISK.EXE et sous un autre nom aléatoire, puis modifie la base de registres pour s'exécuter automatiquement au prochain démarrage. Ganda.A extrait ensuite les adresses emails contenues dans le carnet d'adresses Windows ainsi que les fichiers .HTM* (pages web), .EML (Outlook Express Mail) et DBX (Outlook Express) pour s'y envoyer automatiquement. Le virus peut s'envoyer avec une fausse adresse d'expéditeur.

Le virus modifie les fichiers .EXE et .SCR présents sur le disque dur en y ajoutant un bout de code de 567 octets, de manière à ce que l'exécution de chacun de ces fichiers provoque l'exécution d'une des copies du virus présente dans le répertoire Windows. Les fichiers ainsi modifiés transférés dans un ordinateur sain ne peuvent donc pas infecter ce dernier.

Le virus tente de désactiver les antivirus et firewalls les plus populaires, en terminant les processus correspondants : F-secure, Symantec, Mcafee, Pc-cillin, Trend micro, Kaspersky, Sophos, Norton. A chaque infection, il spamme enfin une liste d'une quinzaine d'adresses email pré-programmées.

INFORMATIONS COMPLEMENTAIRES :
-> FAQ : comment désinfecter le répertoire C:\RESTORE?
-> FAQ : que faire dans le cas d'un fichier "uncleanable" (non nettoyable)?
-> FAQ : comment supprimer un fichier en cours d'utilisation?
-> FAQ : qu'est-ce que le partage de fichiers et comment y mettre fin?
-> Dossier Secuser.com sur les virus
-> Abonnement gratuit à la lettre Secuser Alerte pour être prévenu de l'apparition des nouveaux hoax et virus
 
PUBLICITE
 
RECHERCHE
Recherchez un mot-clé
dans le site Secuser.com :
 
LIENS AMIS
Hoaxkiller.fr
Ne vous laissez plus piéger par les fausses informations qui envahissent le Net.
Inoculer.com
Annuaire de logiciels gratuits pour protéger votre ordinateur.
 
  Copyright © 1998-2019 Emmanuel JUD - Tous droits réservés - Secuser est une marque déposée - Charte vie privée
Outils gratuits - Guides gratuits - Livres - Glossaire - Fils d'information - Bannières et boutons