PRÉCAUTION À PRENDRE CONTRE LES VIRUS

Info sécurité, le 29/05/2000.

Bonjour,

Beaucoup d'applications offrent à leurs utilisateurs la possibilité d'écrire des macro-commandes. Le but est en général de créer des documents plus dynamiques. Parmi ces applications on trouve par exemple Word, Excel, Access, Lotus-Notes...

Le problème est que ces macro-commandes permettent l'écriture sur le disque dur de l'utilisateur qui consulte le document. Cette possibilité est très largement exploitée par de très nombreux virus pour infecter des systèmes et se propager.

Ce type de fichier (Word, Excel, etc...) s'échange très couramment ce qui rend critique la menace de virus cachés dans ce type de documents, les virus Macro.

On découvre ainsi de nouveaux virus Macro presque tous les jours. Pour s'en convaincre, il suffit de s'abonner a une liste d'alertes de virus ou de surveiller quotidiennement les sites des éditeurs d'antivirus.

Cette menace est donc constante, il faut bien en être conscient. Tous les utilisateurs doivent en être pareillement conscients.

Le meilleur moyen de s'en préserver, c'est de toujours considérer tout fichier ayant transite sur d'autres machines comme une menace potentielle. Tout fichier recupéré doit être passé à l'antivirus. Pour que cela soit efficace, l'antivirus doit être souvent remis à jour. Si le logiciel antivirus le permet, il est aussi utile d'activer l'analyse des e-mails.

Pour illustrer notre propos, notons que depuis peu un nouveau virus Macro se transmettant par la messagerie électronique est apparu, surtout aux Etats-Unis.

W97M_RESUME.A est un virus macro Word qui arrive dans un e-mail dont le sujet est :
"Resume- Janet Simons"
le fichier attache est "Explorer.doc"
le texte du message est :
To: Director of Sales/Marketing,
Attached is my resume with a list of references contained within.
Please feel free to call or email me if you have any further questions regarding my experience.
I am looking forward to hearing from you.
Sincerely,
Janet Simons.

Une fois activé, le virus s'envoie à tous les correspondants inscrits dans le carnet d'adresse Outlook. Il essaye ensuite de detruire tous les fichiers présents sur plusieurs répertoires du disque dur ainsi que sur les disques A:\ jusqu'à Z:\

Signalons aussi : CYBERNET.A
SUBJECT : "You’ve GOT Mail !!!"
Corps du message :
"Please, saved the document after you read and don't show to anyone else. The document is also VIRUS FREE… so DISREGARD the virus protection warning !!!"

Ces deux virus ne semblent pas s'être propagés en France. Pour en savoir plus consultez le site de votre editeur d'antivirus.

Pour plus d'informations générales sur les virus, vous pouvez consulter la page :

http://www.cnrs.fr/Infosecu/Virus.html

Cordialement,

CERT-RENATER
Tél : 01.53.94.20.44
Fax : 01.53.94.20.41
Email : certsvp@renater.fr

PRÉCAUTION À PRENDRE CONTRE LES VIRUS

Nouvelle alerte, le 19/05/2000.

Bonjour,

Une nouvelle variante du virus (ver) ILOVEYOU a été signalée. Il s'agit d'un ver Visual Basic polymorphe qui mute après chaque nouvelle infection. Le sujet du message est du type "Fw: <nom du fichier attache>". Le nom du fichier attaché est choisi de façon aléatoire dans le répertoire Windows\Recent. Par exemple, s'il se trouve dans ce répertoire un fichier nommé readme.doc, le sujet du message sera "Fw: readme.doc". Le fichier attaché sera readme.doc.vbs. Rappelons que sur certaines messageries, l'extension .vbs n'apparaît pas. Après chaque infection, le ver ajoute quelques lignes au message, de façon à rendre la détection plus difficile.

Les extensions possibles sont par exemple :

Doc.Vbs
Xls.Vbs
Mdb.Vbs
Bmp.Vbs
Mp3.Vbs
Txt.Vbs
Jpg.Vbs
Gif.Vbs
Mov.Vbs
Url.Vbs
Htm.Vbs

Comme ILOVEYOU, le programme tente ensuite de se propager en se renvoyant aux adresses contenues dans le répertoire Outlook de l'utilisateur.

Consultez vos éditeurs d'antivirus pour vous renseigner sur la disponibilité d'une mise à jour.

Il est conseille de rappeler vos utilisateurs à la plus grande vigilance.

CERT-RENATER
Tél : 01.53.94.20.44
Fax : 01.53.94.20.41
Email : certsvp@renater.fr

PRÉCAUTION À PRENDRE CONTRE LES VIRUS

Message CERT-RENATER, le 15/05/2000.

Bonjour,

Suite à la récente actualité concernant la circulation du ver ILOVEYOU, nous rappelons aux utilisateurs du réseau de rester vigilants avec les mails qu'ils peuvent recevoir. De nouveaux virus continuent d'apparaître très régulièrement. Pour se protéger efficacement, il faut acquérir de bonnes habitudes.

Les précautions d'usage sont :

• mettre régulièrement à jour les antivirus.
• Éviter d'ouvrir les fichiers en attachement des mails, même si l'origine est "de confiance", et surtout s'ils ne sont pas attendus. S'il faut ouvrir un attachement, le mieux est de configurer son antivirus afin que l'analyse des emails soit activée. Régulièrement passer des messages aux utilisateurs afin de les sensibiliser a ce problème.
• Éviter si possible de télécharger des programmes sur des sites douteux, privilégier les sites officiels.
• Toujours passer à l'antivirus les fichiers ayant transite par d'autres systèmes.
• Si votre client email possède la particularité d'exécuter automatiquement des programmes Java™, Javascript, des macros Word ou Excel ou tout autre type de code exécutable encapsulé dans le message, il serait peut-être plus prudent de désactiver cette fonctionnalité. Par exemple, désactiver Windows Scripting Host, si la fonctionnalité n'est pas absolument nécessaire.
• Dès réception d'un message douteux, le mieux est d'en avertir l'administrateur du site et de faire parvenir une copie du message à un éditeur d'antivirus, en indiquant le problème. Il est ensuite préférable de détruire le message.
• Procéder à des sauvegardes régulières de vos informations. Il peut être judicieux de toujours disposer d'une sauvegarde saine de vos fichiers importants sur un autre support que votre disque dur.

De plus, nous vous invitons à nous tenir informés lorsque des vers ou des virus sont détectes sur vos réseaux.

Cordialement,

CERT-RENATER
Tél : 01.53.94.20.44
Fax : 01.53.94.20.41
Email : certsvp@renater.fr