Deletemusic est un virus qui se propage via les disques
partagés ou amovibles (clés USB, disques externes, etc.).
Lorsque l'utilisateur connecte un disque infecté à un
ordinateur, le virus tente de s'exécuter automatiquement, de
se copier sur les disques connectés, puis de supprimer les
fichiers MP3 présents sur l'ordinateur contaminé.
PREVENTION :
Les utilisateurs concernés doivent mettre à
jour leur antivirus. D'une manière générale,
même si son nom est intrigant ou attrayant il ne faut pas
exécuter un fichier douteux sans avoir fait confirmer son
envoi par l'expéditeur présumé du message puis
l'avoir analysé avec au moins un antivirus à jour.
DESINFECTION :
Avant de commencer la désinfection, il est impératif
de s'assurer avoir appliqué les mesures préventives
ci-dessus pour éviter la réinfection de l'ordinateur.
Les utilisateurs
ne disposant pas d'un antivirus peuvent utiliser l'antivirus
gratuit en ligne pour rechercher et éliminer ce
programme malicieux.
|
|
TYPE :
Ver
SYSTEME(S) CONCERNE(S) :
Windows
ALIAS :
Virus.Win32.AutoRun.ah (Kaspersky)
W32/Deletemp3.worm (McAfee)
Win32/AutoRun.AH (NOD32)
Trj/Autorun.J (Panda)
W32/DelMP3-A (Sophos)
W32.Deletemusic (Symantec)
WORM_DELF.HXZ (Trend Micro)
TAILLE :
380.416 octets
DECOUVERTE :
01/08/2007
DESCRIPTION DETAILLEE :
Deletemusic est un virus qui se propage via les disques partagés
ou amovibles (clés USB, disques durs externes, etc.). Lorsque
l'utilisateur connecte un disque infecté à un ordinateur,
le virus s'exécute automatiquement si le système est
configuré pour lancer le fichier AUTORUN.INF du disque concerné
(NB : ce fichier n'est pas un fichier malicieux en soi. C'est un
fichier qui définit les instructions à suivre lorsqu'un
nouveau disque est détecté par le système et
qui est tout à fait normalement présent sur des disques
qui ne sont pas infectés).
Le virus se copie alors sur le disque dur aux emplacements C:\WINDOWS\system32\config\csrss.exe
et C:\WINDOWS\media\arena.exe. Il tente alors de se propager en
copiant les fichiers csrss.exe (le virus Deletemusic lui-même)
et autorun.inf (le fichier automatisant son exécution) dans
les disques connectés de A: à Z:, puis de supprimer
les fichiers MP3 présents sur les disques de l'ordinateur.
Les emplacements de fichiers étant codés en dur dans
le code du virus, ce dernier ne parvient pas à s'exécuter
correctement sous Windows 2000.
Compte tenu de son mode de propagation, ce virus ne devrait pas
connaître une diffusion importante : le
traitement médiatique dont il fait l'objet est essentiellement
dû au fait qu'il cible les fichiers MP3, ce qui n'est
pourtant pas une nouveauté, puisque des virus comme Klez.E
en 2002 ou Nopir.B en 2005 possédaient
déjà cette caractéristique. Le virus Deletemusic
peut toutefois être téléchargé et exécuté
par un autre virus ou programme malicieux, ou encore arriver en
pièce jointe d'un courrier électronique sous un nom
variable, ce qui pourrait accélérer sa diffusion.
INFORMATIONS COMPLEMENTAIRES :
-> Abonnement
gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
-> Identifier
les fausses alertes virus avec Hoaxkiller.fr
-> FAQ : des
dizaines de messages infectés envahissent ma boîte aux lettres.
Mon ordinateur est-il contaminé? Comment arrêter ça?
-> FAQ :
une alerte m'indique qu'un virus a été trouvé dans un message que
j'ai envoyé. Mon ordinateur est-il infecté?
-> FAQ : comment
désinfecter le répertoire C:\RESTORE?
-> FAQ : que
faire dans le cas d'un fichier "uncleanable" (non nettoyable)?
-> FAQ : comment
supprimer un fichier en cours d'utilisation?
-> FAQ
: qu'est-ce que le partage de fichiers et comment y mettre fin?
-> Dossier Secuser.com
sur les virus
|