Accueil Actualités Documentation Téléchargement Vulnérabilités Phishing Hoax Virus Antivirus en ligne Contact
 
Secuser.com
 
GENERAL
Actualité du jour
Lettres d'information
Recommander ce site
Signaler un incident
Nous écrire
 
VIRUS
Alertes virus
Dossiers virus
Alertes par email
Antivirus gratuits
Antivirus en ligne
Désinfection
FAQ virus
 
PROTECTION
Alertes sécurité
Dossier firewall
Alertes par email
Firewalls gratuits
Scanner de ports
Antirootkits gratuits
Traceur IP/domaine
Windows Update
FAQ sécurité
 
PHISHING
Alertes phishing
Logiciels antiphishing
FAQ phishing
 
SPAM
Dossier spammning
Logiciels antispam
FAQ spam
 
VIE PRIVEE
Paiements en ligne
Dossier spywares
Antispywares gratuits
Vos traces sur le Net
FAQ vie privée
 
HOAX
Alertes hoax
Dossier hoax
Dossier viroax
Antihoax en ligne
FAQ hoax
 
NEWSLETTER
Recevez chaque semaine la lettre de Secuser.com :
 
 
ALERTE CONTAMINATION

Virus
Witty

Witty est un virus qui se propage via le réseau en ciblant les utilisateurs de firewalls BlackICE 3.6 non à jour dans leurs correcifs. Il se présente sous la forme d'un paquet de données UDP de 768 à 1.280 octets à destination d'un port aléatoire : lorsque ce paquet atteint une machine vulnérable, Witty l'infecte puis émet une grande quantité de paquets UDP piégés pour tenter d'infecter d'autres machines. Le virus endommage périodiquement un secteur du disque dur, ce qui peut finir par rendre le système inutilisable. Les non utilisateurs de BlackICE ou les utilisateurs d'une version non vulnérable ne peuvent pas être infectés et ne sont donc pas concernés par ce virus.
 

PREVENTION :
En cas de doute, les utilisateurs de produits BlackICE doivent mettre à jour leur logiciel via le site d'ISS afin de corriger la faille exploitée par le virus pour s'exécuter automatiquement.

DESINFECTION :
Avant de commencer la désinfection, il est impératif de s'assurer avoir appliqué les mesures préventives ci-dessus afin d'empêcher toute réinfection de l'ordinateur par le virus via le réseau. Le ver étant présent uniquement en mémoire, il suffit de redémarrer la machine infectée pour éliminer le virus.

TYPE :
Ver

SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003

ALIAS :
Witty (F-Secure)
W32/Witty.worm (McAfee)
W32.Witty.Worm (Symantec)
WORM_WITTY.A (Trend Micro)
Blackworm
Black Ice

TAILLE :
660 à 1.184 octets

DECOUVERTE :
20/03/2004

DESCRIPTION DETAILLEE :
Witty est un virus qui se propage directement par le réseau, et qui ne se rencontre donc pas par email. Il utilise la vulnérabilité ICQ Parsing des produits ISS pour infecter les ordinateurs vulnérables connectés à Internet (BlackICE version 3.6 inférieure à 3.6 ccg, la dernière version disponible) sans intervention de l'utilisateur au moyen d'un paquet UDP piégé. Les non utilisateurs de produits BlackICE ou les utilisateurs d'une version non vulnérable du produit ne peuvent pas être infectés par ce virus.

Witty ne crée aucun fichier sur la machine contaminée. Le ver étant présent uniquement en mémoire, il suffit de redémarrer la machine infectée pour éliminer le virus, mais l'application préventive du correctif est impérative pour les utilisateurs de produits BlackICE afin d'empêcher toute infection et donc éviter toute corruption de fichiers due à la charge destructive du virus. Une fois l'ordinateur infecté, le virus émet 20.000 paquets piégés se présentant comme des paquets de données ICQ par le port UDP 4000 à destination d'adresses IP aléatoires pour tenter de contaminer de nouvelles machines vulnérables, endommage un secteur aléatoire du disque dur en y écrivant 64 Ko de la DLL vulnérable, puis recommence un nouveau cycle en émettant 20.000 paquets piégés, ce qui peut finir par rendre le système inutilisable (les fichiers endommagés doivent être restaurés à partir d'une sauvegarde).

Compte tenu de ses caractéristiques, ce ver ne devrait pas affecter un grand nombre d'ordinateurs, ni perturber le trafic réseau de manière significative.

INFORMATIONS COMPLEMENTAIRES :
-> Abonnement gratuit à la lettre Secuser Alerte pour être prévenu de l'apparition des nouveaux hoax et virus
-> Identifier les fausses alertes virus avec Hoaxkiller.fr
-> FAQ : des dizaines de messages infectés envahissent ma boîte aux lettres. Mon ordinateur est-il contaminé? Comment arrêter ça?
-> FAQ : une alerte m'indique qu'un virus a été trouvé dans un message que j'ai envoyé. Mon ordinateur est-il infecté?
-> FAQ : comment désinfecter le répertoire C:\RESTORE?
-> FAQ : que faire dans le cas d'un fichier "uncleanable" (non nettoyable)?
-> FAQ : comment supprimer un fichier en cours d'utilisation?
-> FAQ : qu'est-ce que le partage de fichiers et comment y mettre fin?
-> Dossier Secuser.com sur les virus

 
PUBLICITE
 
RECHERCHE
Recherchez un mot-clé
dans le site Secuser.com :

 
LIENS AMIS
Hoaxkiller.fr
Ne vous laissez plus piéger par les fausses informations qui envahissent le Net.
Inoculer.com
Annuaire de logiciels gratuits pour protéger votre ordinateur.
 
  Copyright © 1998-2017 Emmanuel JUD - Tous droits réservés - Secuser est une marque déposée - Charte vie privée
Outils gratuits - Guides gratuits - Livres - Glossaire - Fils d'information - Bannières et boutons