à propos de Malware City contactez-nous
search
 
 
 
 
 
Malware city / Blog / Un outil de désinfection contre Zimuse
Imprimer | Envoyer sur Yahoo! | Version PDF | Feed RSS

Fichier de la catégorie : ALERTES

Un outil de désinfection contre Zimuse

Date: 01/26/2010
Auteur: MalwareCity

Un outil de désinfection proposé par BitDefender détecte et élimine toutes les traces du ver Zimuse.

BitDefender a identifié une nouvelle menace informatique alliant le comportement destructeur des virus aux mécanismes de diffusion des vers. Il existe deux variantes connues à ce jour.

Worm.Zimuse.A s’introduit dans les ordinateurs sous la forme d'un innocent test de QI. Une fois exécuté, le ver crée entre sept et onze copies de lui-même (selon la variante) dans des zones sensibles du système de Windows.

Afin de profiter d'Internet en toute sécurité, BitDefender recommande d'installer et de mettre à jour régulièrement une suite antimalware complète avec une protection antivirus, antispam, antiphishing et pare-feu. Nous recommandons la plus grande vigilance aux utilisateurs lorsqu'il leur est demandé d'ouvrir des fichiers provenant d'emplacements inconnus.

BitDefender met à la disposition de tous les utilisateurs un outil de désinfection gratuit contre Zimuse qui peut être téléchargé à l’adresse suivante : http://www.zimuse.com/fr

Quels sont les autres noms de « Worm.Zimuse.A » ?
« Trojan.Startpage.G », « Win32/Zimuse.A » et « Worm:Win32/Zumes.A!sys ».
Comment savoir si Worm.Zimuse.A est présent sur mon PC ? Quels sont les symptômes de l’infection ?
La présence des fichiers suivants :
        * %system32%\drivers\mstart.sys
        * %system32%\drivers\mseu.sys
Description technique de Worm.Zimuse.A :
 Le malware se présente sous la forme d’une application avec une icône WinZip afin de convaincre les utilisateurs de l’exécuter. Pour ressembler plus encore à une archive auto-extractible, il affiche une boîte de dialogue demandant un mot de passe afin de dézipper le contenu du pack.
      Une fois exécutée, l’application recherche le commutateur « /Z » dans les paramètres de la ligne de commande, puis supprime tous les fichiers, toutes les clés de registre et tous les services qu’elle a créés au cours d’une infection préalable.

      Si aucune désinfection n’a lieu, alors l’application effectue les opérations suivantes :
      * elle s’assure qu’elle sera lancée à chaque démarrage en vérifiant la présence d’une clé nommée « Dump » dans HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.
      * si aucune infection préalable n’est détectée, alors elle infecte l’ordinateur.

      L’infection de l’ordinateur consiste à :
         * déposer les fichiers suivants :
             - %system32%\drivers\mstart.sys (et créer et exécuter un service nommé « mstart » à partir de ce fichier)
             - %program-files%\Dump\dump.exe"
             - %Temp%\Dump.ini
             - %Temp%\Regini.exe
             - %system32%\drivers\mstart.sys
             - %system32%\drivers\mseu.sys
             - %Temp%\mseu.ini (utilisé pour l’installation du service mseu.sys)
             - %system32%\mseus.exe
             - %Temp%\mseus.ini (utilisé pour l’installation du service mseus.exe)
             - %system32%\tokset.dll
             - %system32%\ainf.inf
             - %Temp%\instdrv.exe (un fichier sain utilisé pour installer des services)
             - %system_drive%\IQTest\iqtest.exe (dans certaines versions)
             - %system_drive%\IQTest\readme.txt (dans certaines versions)

         * s’assurer que le fichier « dump.exe file » déposé précédemment s’exécutera au démarrage (c’est l’indicateur de l’infection)
         * supprimer les fichiers suivants (qui ont été utilisés pour l’installation des services) :
             - %Temp%\Regini.exe
             - %Temp%\Dump.ini
             - %Temp%\mseu.ini
             - %Temp%\mseus.ini
             - %Temp%\instdrv.exe

      Le malware est inactif pendant 10 jours (pour la première variante) et 7 jours (pour la seconde). Une fois cette période écoulée, il procède à l’infection de tous les disques USB connectés à l’ordinateur via la technique habituelle autorun.inf.

      Quarante jours et vingt jours après l’infection (pour la première variante et la seconde variante respectivement), le malware écrase la zone d’amorçage du disque dur (le Master Boot Record) et le démarrage de l’ordinateur devient impossible.
 
Comment supprimer Worm.Zimuse.A ?

1. Téléchargez l’outil de désinfection (fichier .exe - 201 Ko).

2. Si vous utilisez Windows XP avec un compte utilisateur limité, faites un clic droit sur le programme « zimuse-removal-tool.exe » et sélectionnez « Exécuter en tant qu'administrateur ». Vous serez alors invité(e) à saisir l'identifiant et le mot de passe d'un compte administrateur.

3. BitDefender recommande de redémarrer le système une fois la désinfection terminée.

4. Nous invitons les personnes n'ayant pas de protection antivirus permanente ou dont l'antivirus n'aurait pas été efficace à considérer les outils de protection avancée proposés par BitDefender .

Pour plus d’informations, veuillez consulter ce site Internet sur Zimuse .

Partager notre histoire:
DiggStumbleUpondel.icio.usYahooMyWebFurlGoogleFacebookViadeo

Commentaires :
Nom:
E-mail:
Votre adresse e-mail ne sera pas publiée

Veuillez taper le code de l'image ci-dessous.
Le code ne fait pas la distinction entre les majuscules et les minuscule
Verification Image
Reload image
 
 
Calendar
March 2010
LuMaMeJeVeSaDi
1234567
891011121314
15161718192021
22232425262728
293031    
« Feb March Apr »
CategoriesALERTES
COMMENT....
DIVERS
REVUE SPAM
REVUE HEBDOMADAIRE
RSS Feeds
blogs et commentaires actualités RSS
Malware City Powered by BitDefender © 2010 |   politique de confidentialité  |   carte de la ville