Wonka est un programme malicieux de type cheval de
Troie. Il se présente sous la forme d'une page web ou d'un courrier
électronique au format HTML contenant un script Javascript
ou VBscript malicieux. Si ce script est exécuté, le
troyen tente d'effectuer diverses actions hostiles, selon les instructions
de son concepteur.
PREVENTION :
Les utilisateurs concernés doivent mettre à
jour leur antivirus. Les utilisateurs de Windows ont intérêt
à mettre à jour leurs logiciels afin de corriger
les failles de sécurité
exploitables par le troyen pour s'installer automatiquement.
DESINFECTION :
Avant de commencer la désinfection, il est impératif
de s'assurer avoir appliqué les mesures préventives
ci-dessus pour éviter la réinfection de l'ordinateur.
Les utilisateurs
infectés doivent supprimer le contenu du cache
de leur navigateur puis utiliser leur antivirus ou notre
antivirus gratuit en
ligne pour rechercher et éliminer ce troyen.
|
|
TYPE :
Troyen
SYSTEME(S) CONCERNE(S) :
Windows
ALIAS :
JS/SillyDownloader.AI (F-Prot)
Trojan-Downloader.JS.Inor.a (Kaspersky)
JS/Wonka (McAfee)
Troj/Phel-B (Sophos)
Troj/Viperjs-A (Sophos)
JS_DLOADER.K (Trend Micro)
JScript/ProfPack!PWS!Downloader
Obfuscated JavaScript
TAILLE :
variable
DECOUVERTE :
08/09/2005
DESCRIPTION DETAILLEE :
Wonka est un programme malicieux de type cheval de Troie, c'est-à-dire
un programme hostile incapable de se multiplier et de se propager
par lui-même contrairement aux virus. Il se présente sous la forme
d'une page web ou d'un courrier électronique au format HTML
contenant script malicieux. La page infectée ou son adresse
peut être envoyée en masse dans un message non sollicité
(spam), mais le troyen peut également être rencontré
sur un site web habituellement fréquenté lorsque modifié
par un pirate informatique pour infecter ses pages.
Si une page infectée est ouverte dans le navigateur ou dans
un logiciel de messagerie supportant le langage de script concerné
(Javascript ou VBscript), le troyen s'exécute et tente d'effectuer
diverses actions hostiles, selon les instructions de son concepteur
(par exemple modification de la page par défaut du navigateur
avec redirection vers un site à caractère pornographique).
Le code du script peut par ailleurs être crypté ("obfuscated
JavaScript" ou "obfuscated code") pour tenter de
rendre plus difficile son analyse par les antivirus ou les humains.
Les antivirus disposent souvent de signatures génériques
(capables de détecter plusieurs troyens selon quelques caractéristiques
communes) leur permettant de détecter ces scripts, aussi
une alerte à l'ouverture d'une page web ne signifie généralement
pas que l'ordinateur est infecté mais que l'antivirus a détecté
et empêché l'exécution du troyen. Ces signatures
génériques peuvent toutefois engendrer des faux positifs
(page saine indiquée à tort infectée) : en
cas de doute, vous pouvez nous
écrire en précisant l'adresse de la page web concernée
et nous vérifierons pour vous.
Pour supprimer Wonka, il suffit généralement
de supprimer les fichiers contenus dans le cache du navigateur :
- Microsoft Internet Explorer 6.0 : dans la barre de menus
sélectionner "Outils", puis "Options Internet...",
puis dans l'onglet "Général" au niveau
de "Fichiers Internet temporaires" presser le bouton
"Supprimer les fichiers...", cocher la case "Supprimer
tout le contenu hors connexion", puis pressez "OK"
;
- Microsoft Internet Explorer 7.0 : dans la barre de menus
sélectionner "Outils", puis "Options Internet",
puis dans l'onglet "Général" au niveau
de "Historique de navigation" presser le bouton "Supprimer...",
puis au niveau de "Fichiers Internet temporaires" presser
le bouton "Supprimer les fichiers...", puis pressez
"Oui" ;
- Mozilla Firefox 2.0 : dans la barre de menus sélectionner
"Outils", puis "Options...", puis dans l'onglet
"Vie privée" au niveau de "Vie privée"
presser le bouton "Nettoyer maintenant...", cocher la
case "Cache", puis pressez le bouton "Effacer mes
traces maintenant".
INFORMATIONS COMPLEMENTAIRES :
-> Abonnement
gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
-> Identifier
les fausses alertes virus avec Hoaxkiller.fr
-> FAQ : des
dizaines de messages infectés envahissent ma boîte aux lettres.
Mon ordinateur est-il contaminé? Comment arrêter ça?
-> FAQ :
une alerte m'indique qu'un virus a été trouvé dans un message que
j'ai envoyé. Mon ordinateur est-il infecté?
-> FAQ : comment
désinfecter le répertoire C:\RESTORE?
-> FAQ : que
faire dans le cas d'un fichier "uncleanable" (non nettoyable)?
-> FAQ : comment
supprimer un fichier en cours d'utilisation?
-> FAQ
: qu'est-ce que le partage de fichiers et comment y mettre fin?
-> Dossier Secuser.com
sur les virus
|