Golten.A est un virus qui se propage via les
partages réseau. Il se présente notamment sous
la forme d'un courriel en anglais dont le titre est "Latest
News about Arafat!!!", accompagné de deux fichiers
joints ARAFAT_1.EMF et ARAFAT_2.EMF. Le premier fichier est
une image .JPG de l'enterrement du leader Palestinien, le second
est un fichier piégé. Si ce fichier est ouvert
sur un ordinateur vulnérable à la faille
Windows MS04-032, le virus s'exécute, installe une
porte dérobée puis tente de se propager via le
réseau local en se connectant à des adresses IP
composées aléatoirement, en essayant de forcer
l'accès via des mots de passe pré-programmés.
Les utilisateurs à jour dans leurs correctifs de sécurité
ne peuvent pas être infectés par ce virus.
PREVENTION
:
Les utilisateurs concernés doivent mettre
à jour leur antivirus. En cas de doute, les utilisateurs
de Windows doivent également mettre à
jour leur système via le site
de Microsoft ou le service WindowsUpdate
afin de corriger la faille exploitée par le virus
pour s'exécuter insidieusement à l'ouverture
d'un fichier .EMF.
DESINFECTION :
Avant de commencer la désinfection, il est impératif
de s'assurer avoir appliqué les mesures préventives
ci-dessus afin d'empêcher toute réinfection
de l'ordinateur par le virus. Les
utilisateurs ne disposant pas d'un antivirus peuvent
utiliser gratuitement l'antivirus
gratuit en ligne pour rechercher et éliminer
le virus.
|
TYPE :
Ver
SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003
ALIAS :
Win32.Golten.A (Computer Associates)
Aler (F-Secure)
Worm.Win32.Aler.a (Kaspersky)
W32/Golten.worm (Mc Afee)
W32/Aler.A.worm (Panda Software)
W32.Scard (Symantec)
WORM_GOLTEN.A (Trend Micro)
BackDoor-CJV
Backdoor.Win32.Small.bq
TAILLE :
variable
DECOUVERTE :
11/11/04
DESCRIPTION DETAILLEE :
Golten.A n'est pas un virus mass-mailer et n'exploite
pas directement la faille
Windows MS04-032 pour sa propagation mais comme subterfuge
pour inciter l'utilisateur à ouvrir un fichier ayant
une extension .EMF (Enhanced MetaFile) non connue pour être
à risque. Incapable de se propager spontanément
via Internet, les courriels piégés doivent être
envoyés par spamming aux victimes potentielles. La
diffusion du virus reste des plus limitées et ne devrait
pas significativement évoluer. Les utilisateurs à
jour dans leurs correctifs n'ont rien à craindre de
ce virus, les autres ont tout intérêt à
mettre à jour leur système.
Cette fiche a été publiée à titre
d'information, en raison d'une possible surexposition médiatique
et non en raison d'un risque important.
INFORMATIONS COMPLEMENTAIRES :
-> Abonnement
gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
-> Identifier
les fausses alertes virus avec Hoaxkiller.fr
-> FAQ
: des dizaines de messages infectés envahissent ma boîte aux
lettres. Mon ordinateur est-il contaminé? Comment arrêter
ça?
-> FAQ
: une alerte m'indique qu'un virus a été trouvé dans un message
que j'ai envoyé. Mon ordinateur est-il infecté?
-> FAQ : comment
désinfecter le répertoire C:\RESTORE?
-> FAQ
: que faire dans le cas d'un fichier "uncleanable"
(non nettoyable)?
-> FAQ
: comment supprimer un fichier en cours d'utilisation?
-> FAQ
: qu'est-ce que le partage de fichiers et comment y mettre
fin?
-> Dossier
Secuser.com sur les virus
|