Lutte AntiMalware / AntiMalware Fight
-nettoyage / -Cleaning
-nettoyage / -Cleaning
|
|
Lutte AntiMalware / AntiMalware Fight
-nettoyage / -Cleaning |
|
Certains internautes ne comprennent pas qu'ayant de nombreuses défenses parfaitement à jour (AntiVirus, FireWall), ils puissent être infectés ! Il convient de savoir qu'il y a d'autres voies d'entrée dans le système : un antivirus contre mal les chevaux de Troie, les spywares (il y a des logiciels spécialisés), etc. il y a en outre des failles de sécurité qui sont découvertes et exploitées ! Etre infecté malgré Antivirus et pare-feu s'explique de 3 manières principales : - AV et FW ne sont que 2 défenses parmi tous les dangers et, en particulier, il faut boucher toutes les failles de sécurité connues de MicroSoft en effectuant toutes les Windows Updates de catégorie Critical - les techniques utilisées par les programmes nécessitent une parfaite mise à jour ; ainsi, les définitions de virus doivent être tenues à jour... activer tous les automatismes... de manière journalière ! pour les Windows Updates, activer Démarrer/Paramètres/Panneau de configuration/Mises à jour automatiques - Même avec tous les programmes en place, même avec les programmes parfaitement à jour, des malwares sortent avant que les protections ne soient en place : ainsi, un virus qui se propage avant que les éditeurs ne trouvent le moyen de détection et d'éradication ; une faille de sécurité qui est exploitée avant que MicroSoft ne parvienne à la boucher. |  |
Some surfers don't understand that despite numerous perfectly uptodate protections (AntiVirus, FireWall), they may be infected! We must have in mind there are other ways to enter the system: an antivirus poorly blocks trojans , spywares (there are specialized softs), etc. in addition, there are security holes discovered and exploited! To be infected in spite of Antivirus and firewall can be explained by 3 main ways: - AV and FW are only 2 protections against all of the dangers and, particularly, any Microsoft known security hole must be blocked performing all of the Windows Updates -critical - techniques used by programs need a perfect update; so, virus definitions must be kept uptodate... activate all of the automatisms... daily! for Windows Updates, activate Start/Settings/Control Panel/Automatic Updates - even with all of the programs, even with perfectly updated programs, some malwares spread before protections are setup: so, a virus that spreads before editors find the way to detect and eradicate; a security hole exploited before MicroSoft manages to block it. |
|
Certains internautes sont vexés et perplexes lorsqu'ils sont informés qu'ils sont censés avoir envoyé un e-mail comportant un fichier infecté ! Il convient de comprendre que les virus actuels utilisent le Spoofing d'adresse e-mail : l'expéditeur affiché d'un message n'est pas l'expéditeur réel ! Un virus exploite les carnets d'addresses trouvés sur le disque (et parfois, bien d'autres sources d'adresses comme les boîtes de messageries elles-même) : - choix, au hasard, d'un contact et utilisation comme expéditeur - choix, au hasard, d'un contact et utilisation comme destinataire - composition et envoi du message, souvent avec leur propre logiciel serveur SMTP - quelques particularités : les virus sont capables d'éviter les contacts relatifs à Symantec, McAfee, abuse, etc. ; parfois, un message comporte la même adresse en expéditeur et en destinataire (LOL un bug dans le virus !). L'expéditeur affiché n'est pas l'expéditeur et il ne sert à rien de lui écrire. La machine infectée est un ordinateur pour lequel expéditeur et destinataire sont dans les contacts. | |
Some surfers are offended and baffled as they are informed they are supposed to have sent an email including an infected file! Present viruses use Email Address Spoofing: the displayed sender of a message is not the true sender! A virus exploits address books found on the disk (and sometimes, other address sources such as mailboxes themselves): - random choice of a contact and use as the sender - random choice of a contact and use as the recipient - formation and mailing of the message, often with their own SMTP server software - some specificities: viruses are able to avoid contacts related to Symantec, McAfee, abuse, etc.; sometimes, a message has the same address as sender and as recipient(LOL a bug in the virus!). The displayed sender is not the true sender and it is useless to write to him. The infected machine is a comp for which sender and recipient are in the contacts. |
|
Nimda, BugBear, Blaster, Nachi/Welchi QHosts, Lop, Suomia | |
Nimda, BugBear, Blaster, Nachi/Welchi QHosts, Lop, Suomia |
|
| |
|
|
| |
|
|
----- EXEfix08.inf ----- [Version] Signature="$Chicago$" [DefaultInstall.NT] AddReg=EXEfix08_INF [DefaultInstall] AddReg=EXEfix08_INF [EXEfix08_INF] HKCR,exefile\shell\open\command,,0,"""%1"" %*" HKLM,software\classes\exefile\shell\open\command,,0,"""%1"" %*" --------------- |
|
| |
|
|
----- REGfile.inf ----- [Version] Signature="$Chicago$" [DefaultInstall] AddReg=RegFile.inf [RegFile.inf] HKCR,".reg",,0,"regfile" HKCR,regfile\shell\open\command,,0,"regedit.exe %1" HKLM,software\classes\regfile\shell\open\command,,0,"regedit.exe %1" --------------- |
|
| |
|
|
----- FixSwen.inf ----- [Version] Signature="$CHICAGO$" [DefaultInstall] AddReg=FixSwen DelReg=EnableRegTools [FixSwen] HKCR, "batfile\shell\open\command",,0,"""%1"" %*" HKCR, "comfile\shell\open\command",,0,"""%1"" %*" HKCR, "exefile\shell\open\command",,0,"""%1"" %*" HKCR, "piffile\shell\open\command",,0,"""%1"" %*" HKCR, "regfile\shell\open\command",,0,"regedit.exe "%1"" HKCR, "scrfile\shell\open\command",,0,"""%1"" %*" HKCR, "scrfile\shell\config\command",,0,"""%1"" %*" [EnableRegTools] HKCU, "software\microsoft\windows\currentversion\policies\system","DisableRegistryTools" --------------- |
|
| |
|
|
----- RestoreReg.vbs ----- ' ---------------------------------------------------------- ' Script de restauration des valeurs par défaut des clefs ' de la BDR modifiées par le virus Svenn ' ' JC BELLAMY © 2003 ' ---------------------------------------------------------- Set shell = WScript.CreateObject("WScript.Shell") FileType = array( _ "exefile", _ "regfile", _ "scrfile", _ "scrfile", _ "piffile", _ "batfile", _ "comfile") Command= array( _ """%1"" %*", _ "regedit.exe ""%1""", _ """%1"" /S", _ "%1", _ """%1"" %*", _ """%1"" %*", _ """%1"" %*") Subkey= array( _ "open", _ "open", _ "open", _ "config", _ "open", _ "open", _ "open") Ntype=Ubound(FileType) wscript.echo "Restauration des valeurs par défaut des " _ & Ntype+1 & " clefs suivantes de la BDR : " For i = 0 To NType Key="HKCR\" & Filetype(i) & "\shell\" _ & Subkey(i) & "\command\" wscript.echo Key & " -> " & Command(i) shell.RegWrite Key, Command(i),"REG_SZ" Next wscript.echo On error resume next Key="HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools" shell.RegDelete Key If err.number=0 Then wscript.echo "Rétablissement d'utilisation de REGEDIT et REGDT32" err.clear Key="HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr" shell.RegDelete Key If err.number=0 Then wscript.echo "Rétablissement d'utilisation du gestionnaire de tâches" Wscript.quit --------------- |
|
| |
|
|
----- VirusBdRRepair.vbs ----- ' ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ' Script VBS pour nettoyer les dégâts de SWEN et de TORVIL dans le registre ' Réactive les outils de registre, le gestionnaire de tâches et ' le bouton d'arrêt de XP ' ' script de ~Jean-Marc~ © 2003 http://perso.wanadoo.fr/doc.jm ' ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Dim shell, fso Set shell = WScript.CreateObject("WScript.Shell") Set fso = WScript.CreateObject("Scripting.FileSystemObject") 'fichiers exécutables key="HKEY_CLASSES_ROOT\exefile\shell\open\command\" shell.RegWrite key,"""%1"" %*" key="HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command" shell.RegWrite key,"""%1"" %*" key="HKEY_CLASSES_ROOT\.exe" shell.RegWrite key,"exefile" 'fichiers de registre key="HKEY_CLASSES_ROOT\regfile\shell\open\command\" shell.RegWrite key,"regedit.exe ""%1""" 'Economiseurs d ecran key="HKEY_CLASSES_ROOT\scrfile\shell\open\command\" shell.RegWrite key,"""%1"" /S" key="HKEY_CLASSES_ROOT\scrfile\shell\config\command\" shell.RegWrite key,"""%1""" 'raccourcis PIF key="HKEY_CLASSES_ROOT\piffile\shell\open\command\" shell.RegWrite key,"""%1"" %*" 'raccourcis CMD key="HKEY_CLASSES_ROOT\cmdfile\shell\open\command\" shell.RegWrite key,"""%1"" %*" 'raccourcis COM key="HKEY_CLASSES_ROOT\comfile\shell\open\command\" shell.RegWrite key,"""%1"" %*" 'fichier BAT key="HKEY_CLASSES_ROOT\batfile\shell\open\command\" shell.RegWrite key,"""%1"" %*" 'Réactivation des outils de registre key="HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System\" shell.RegWrite key & "DisableRegistryTools", 0 ,"REG_DWORD" key="HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\" shell.RegWrite key & "DisableRegistryTools", 0 ,"REG_DWORD" key="HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\" shell.RegWrite key & "DisableRegistryTools", 0 ,"REG_DWORD" 'Réactivation du bouton d arrêt key="HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\" shell.RegWrite key & "NoClose", 0 ,"REG_DWORD" key="HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\" shell.RegWrite key & "NoClose", 0 ,"REG_DWORD" key="HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\" shell.RegWrite key & "NoClose", 0 ,"REG_DWORD" 'Réactivation du gestionnaire de tâches key="HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System\" shell.RegWrite key & "DisableTaskMgr", 0 ,"REG_DWORD" key="HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\" shell.RegWrite key & "DisableTaskMgr", 0 ,"REG_DWORD" key="HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\" shell.RegWrite key & "DisableTaskMgr", 0 ,"REG_DWORD" 'fin wscript.echo "Nettoyage des associations exe, scr, reg, pif, bat terminé." & vbcrlf & _ "Réactivation des outils de registre, du gestionnaire de tâches et du bouton d arrêt effectué" Wscript.quit --------------- |
|
| |
|
|
- Doug Knox -Security - Bill James -Windows VBScript Tools |
|
Mention spéciale pour Stinger qui est un super antidote. Si un antivirus a de multiples fonctions : protéger le système contre les entrées diverses et les milliers de malwares, alerter, assurer la réparation... ce qui est bien trop pour un seul programme ! un antidote est un programme qui nettoie les conséquences d'une infection : un seul malware et nettoyage du disque dur (suppression / réparation) et base de registres (démarrage / clés altérées). Stinger est un super antidote en ce sens qu'il répare les méfaits d'une quarantaine de virus : | |
Special award for Stinger which is a super antidote. If an antivirus has multiple functions: protect the system against the various entries and thousands of malwares, alert, carry out repair... which is far too much for a single program! an antidote is a program that cleans the consequences of an infection: only one malware and cleaning of the hard disk (deletion / repair) and registry (autostart / corrupted keys). Stinger is a super antidote in that sense that it repairs the damages of about forty viruses: |
|
