Rungbu est un virus qui infecte spécifiquement
les fichiers Word. Il se propage en contaminant les ordinateurs via
certains sites web malicieux, via d'autres virus ou en s'exécutant
à l'ouverture d'un fichier Word infecté.
PREVENTION :
Les utilisateurs concernés doivent mettre à
jour leur antivirus. Les utilisateurs de Windows ont intérêt
à mettre à jour leurs logiciels afin de corriger
les failles de sécurité
exploitables par Rungbu
pour s'installer automatiquement.
DESINFECTION :
Avant de commencer la désinfection, il est impératif
de s'assurer avoir appliqué les mesures préventives
ci-dessus pour éviter une réinfection. Les
utilisateurs ne disposant pas d'un antivirus peuvent utiliser
l'antivirus gratuit en
ligne pour supprimer Rungbu après avoir démarré
leur ordinateur en mode
sans échec.
|
|
TYPE :
Infecteur de fichier
SYSTEME(S) CONCERNE(S) :
Windows
ALIAS :
Win32/Gnurbulf.C (CA)
W32/Rungbu.A (F-Secure)
Worm.Win32.VB.du (Kaspersky)
Win32/VB.NHV (NOD32)
W32/Rungbu-A (Sophos)
W32/Rungbu-C (Sophos)
W32.Rungbu (Symantec)
PE_RUNGBU.B (Trend Micro)
W32/Gnurbulf.B
Flu Burung
TAILLE :
variable
DECOUVERTE :
06/10/2006
DESCRIPTION DETAILLEE :
Rungbu se propage en infectant les ordinateurs non à
jour dans leurs correctifs lors de la visite de sites web malicieux,
en étant installé par un autre virus, ou encore en
s'exécutant à l'ouverture d'un fichier Word infecté.
Si le virus est exécuté, il se copie sur l'ordinateur
aux emplacement suivants :
- C:\Recycled\SVCHOST.EXE
- C:\Recycled\SPOOLSV.EXE
- C:\Recycled\CTFMON.EXE
- C:\Recycled\SMSS.EXE
- C:\Windows\Installer\{00000409-78E1-11D2-B60F-006097C998E7}\docicon.exe
(Windows 95/98/Me/XP)
ou C:\Winnt\Installer\{00000409-78E1-11D2-B60F-006097C998E7}\docicon.exe
(Windows NT/2000)
Il créé également puis ouvre le fichier non
malicieux suivant :
- C:\Documents and Settings\[Nom d'utilisateur]\Local Settings\Temp\Flu
Burung.txt
Rungbu modifie ensuite la base de registres pour s'exécuter
automatiquement à chaque démarrage de l'ordinateur,
pour que les fichiers ayant une extension .SCR aient la même
icône qu'un document Word et pour masquer les extensions des
fichiers dont le type est connu (dont Word). Il infecte ensuite
les documents Word en se substituant à eux : le virus cache
chaque fichier Word (attribut "Fichier caché")
puis crée une copie de lui-même avec une extension
.SCR qu'il nomme comme le fichier Word original en incluant une
copie du fichier Word concerné, de manière à
ce que l'ouverture du fichier infecté provoque tout de même
l'affichage du fichier Word correspondant.
INFORMATIONS COMPLEMENTAIRES :
-> Abonnement
gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
-> Identifier
les fausses alertes virus avec Hoaxkiller.fr
-> FAQ : des
dizaines de messages infectés envahissent ma boîte aux lettres.
Mon ordinateur est-il contaminé? Comment arrêter ça?
-> FAQ :
une alerte m'indique qu'un virus a été trouvé dans un message que
j'ai envoyé. Mon ordinateur est-il infecté?
-> FAQ : comment
désinfecter le répertoire C:\RESTORE?
-> FAQ : que
faire dans le cas d'un fichier "uncleanable" (non nettoyable)?
-> FAQ : comment
supprimer un fichier en cours d'utilisation?
-> FAQ
: qu'est-ce que le partage de fichiers et comment y mettre fin?
-> Dossier Secuser.com
sur les virus
|