1 mai 1998:
Roger Cheng est célèbre pour son analyse préliminaire détaillée sur FrostyPlace, un site chinois de news Macintosh. Nien-Po Chen a donné l'alerte aux groupes de discussion Usenet alt.chinese.computing, alt.comp.virus, comp.sys.mac.system et comp.sys.mac.apps.
Désactivez "CD Rom Autoplay!"
Résumé:
Introduction:
Autostart 9805 est le premiere ver (worm) infectant les plateformes Macintosh. Il s'est répandu à Hong Kong et Taiwan début mai 1998, et selon des cadres de USENET et de MacInTouch, il s'est propagé sur quatre continents.
En plus de Autostart initial 9805 il y a quatre variantes: Autostart
9805-B, Autostart
9805-C, Autostart 9805-D, Autostart 9805-E, Autostart 9805-F (aussi appelé 9806-F).
Neutralisation urgente:Désactivez "CD Rom AutoPlay" dans le tableau de bord de configurations de QuickTime. QuickTime
2,0 (et les versions précédentes) ne possède pas cette option. Dans ce cas, installez une version plus récente de QuickTime. Sinon préferez un programme commercial d'anti-virus avec des définitions actuelles.
Vérifiez l'infection:
Si votre logiciel d'anti-virus n'est pas encore capable de vous protéger de Autostart, vous pouvez contrôler manuellement.Les fichiers de ver sont invisibles. **time-out** Utiliser "Recherche de fichiers" en maintenant "Option Shift" afin d'afficher la "visibilité" dans le menu, ResEdit, ou un autre programme équivalent pour rechercher des fichiers nommés " DB", " BD ", ou " DELDB ".
Qu' est ce qu'un ver?
Une définition étendue de ver est dans la section B2 du FAQ de VIRUS-L/comp.virus (la page est de 162k en Anglais). Autostart 9805 se copient de volume en volume, y compris les disques durs, cartouches, disquettes. Un ver Autostart penètre comme application invisible de QuickTime AutoStart dans le Dossier Système, et puis se copie dans le Dossier Extensions où il peut commencer à endommager.
Que font les vers Autostart? Ils détruisent des données. Les fichiers que ciblent Autostart sont de plus de 100 octets, avec des noms terminant par "file", la " morue ", et le " csa " (traduction de l'Anglais pour "morue" et "csa"), et de plus de 2Mb avec des noms de fichiers terminant par " dat ". La variante B est moins virulente et prend comme cible les fichiers du type "JPEG", "tiff", et "EPSF". Les fichiers visés sont transformés comme les élements de la corbeille après l'avoir vidé, et rend leur sauvegarde impossible. La variante C et D n'ont pas été conçue pour endommager des fichiers mais pour détruire les autres versions d'Autostart. Seulement les PowerMac sont en danger face à ces vers.
AutoStart 9805 est un ver qui peut affecter n'importe quel système Macintosh puissant. Les systèmes Macintosh à base de processeurs 680x0 ne sont pas affectés. Le ver peut être transmis sur presque tous les volumes Macintosh (HFS ou HFS+), y compris les disquettes, la plupart des unités de disques à cartouche démontables, disques durs et même images de disque. Il infecte normalement par l'intermédiaire du dispositif de Quicktime AutoStart. Le risque d'infection peut être réduit en désactivant l'option "CD Rom AutoPlay" dans le tableau de bord de configuration de Quicktime. Cependant, ceci ne servira à rien si le système est déjà infecté, ou si vous redémarrez à partir d'un disque contenant un dossier d'extensions infectés.
AutoStart 9805 pénètre par l'intermédiaire des disques qui contiennent un fichier invisible d'application nommé " DB " dans le Dossier Système. Ce fichier est indiqué dans le secteur de démarrage du disque comme étant le fichier AutoStart. Quand le disque infecté est inséré dans un Macintosh exécutant Quicktime 2,0 (ou plus récente), l'application " DB " est lancée automatiquement si l'option du "CD-Rom AutoPlay" est activée dans le tableau de bord de configuration de Quicktime.
Lors du lancement, l'application " DB " contrôle si le système informatique est déjà infecté. Sinon, elle se copie dans le dossier d'extensions et change en application invisible le gestionnaire d'impression du bureau. Elle relance alors le système informatique.
L'application de fond " du gestionnaire d'impression de bureau " est maintenant automatiquement lancée toutes les fois que le système informatique redémarre. Environ toutes les trente minutes, elle examine les volumes montés. Si certains ne sont pas déjà infectés, ils essayent de les infecter en se copiant au répertoire racine et en installant l'information AutoStart du disque. La plupart des disques à affichage ou volumes HFS sont infectés avec succès. L'exception notable concerne les volumes de serveurs, qui n'ont pas les zones nécessaires de bloc de redémarrage pour l'exécution d'AutoStart. Le fichier de ver est copié sur les volumes à l'affichage du serveur, mais il ne peut se lancer quand le volume est monté.
Après avoir examiné les volumes montés pour s'assurer de l'infection (pas con le ver...), il commence une recherche peu sensible du cas des fichiers dont les noms se terminent ainsi: " données ", " morue ", et le " csa " (traduit de l'Anglais) sont visés si le fichier est supérieur à 100 octets. Les fichiers se terminant avec " dat " sont visés si le fichier entier est plus grand que 2 Moctets. Quand un fichier visé est trouvé, il est endommagé.
Les
symptômes:
Autostart 9805 peut causer les
symptômes suivants sur un Macintosh infecté:
Le système relance inopinément après le montage d'une
disquette ou de tout autre volume. Ceci se produit seulement
quand l'infection initiale est en cour.
Les flashes nommés d'application d'" DB "
dans la barre de menu quand un disque est monté.
L'activité intense et non expliquée de disque se produisant
toutes les 30 minutes. Si des volumes de serveur sont
montés, il y aura également activité peu commune du
réseau (puisque les volumes du serveur sont consultés
par le ver mais n'ont rien à craindre).
La présence d'un fichier invisible d'application nommé
" DB " sur la racine des volumes de disque,
ou le fichier invisible "du gestionnaire d'impression
de bureau" dans le dossier d'extensions. N'importe
quel fichier ou programme d'utilitaire disque (tel que
ResEdit) peut être employé pour vérifier les fichiers.
Soyez sûr de ne pas confondre
le fichier légitime "de programme d'impression
désynchronisée d'imprimante de bureau" avec le
ver.
Un processus nommé " le gestionnaire d'impression
de bureau " est trouvé (observation de processus
d'utilisation ou de Macsbug).
AUTOSTART
9805-B
AutoStart 9805-B est une variante
du vers d'AutoStart 9805. Comme son prédécesseur,
il emploie le même mécanisme de Quicktime AutoStart pour
pénétrer. Cependant, il a plusieurs caractéristiques distinctes:
Les fichiers de ver sont nommés " DB " et
" programme d'impression désynchronisée de bureau
de Printr ".
Le système informatique n'est pas relancé juste après
l'infection initiale.
Il efface les fichiers initiaux de ver d'AutoStart
9805 en se propageant aux volumes précédemment infectés.
Il ne se propage pas aux volumes de réseau.
Il se déclenche toutes les trois minutes pour se propager,
et toutes les six minutes pour endommager des fichiers.
Les fichiers sont seulement
endommagés si le dossier de descriptions: "Extensions/Printer
" contient les fichiers dont les noms ne commencent
pas par " ACR ", " GEN ", "
column ", "LAS", ou " DIS ".
Les fichiers des types ' JPEG ', ' tiff ', et ' EPSF
' supérieur à 10242 Octets sont endommagés.
Les fichiers sont endommagés en recouvrant les données
au delà des 10242 premiers octets, jusqu'à approximativement
1 Moctet, avec des données aléatoires.
Pas plus de 20 fichiers sont endommagés par déclenchement.
Après le 24 décembre 1998, ce
ver cessera de se propager.
Plusieurs de ces changements rendent ce ver beaucoup
moins apparent que le ver initial d'AutoStart 9805. Tous
les deux semblent avoir été écrits par le même dingue.
AUTOSTART
9805-C
AutoStart 9805-C est une autre
variante du ver d'AutoStart 9805. À la différence
des autres variantes, il n'essaye pas d'endommager des
fichiers. Après le 8 juin 1998, AutoStart 9805-C commence
à effacer les copies de lui-même des volumes de disque,
puis il s'autodétruit. L'infection n'est pas complètement
éliminée parce que la copie courante du ver ne peut pas
s'effacer, mais elle ne se propagera plus plus.
Les caractéristiques d'AutoStart 9805-Cincluent:
Les fichiers de Worm font nommés le gestionnaire d'impression:
" DELDB " et " DELDesktop ".
Il déclenche toutes les dix minutes pour infecter
d'autres volumes.
Il remplace d'autres variantes d'AutoStart par lui-même.
Aucun dommage intentionnel de
fichier n'est essayé.
Après le 8 juin 1998, ce ver essaye de s'effacer ainsi
que les autres variantes d'AutoStart.
AUTOSTART
9805-D
AutoStart 9805-D: Les caractéristiques d'AutoStart 9805-D
sont identiques à celle de 9805-C,
excepté la date d'autodestruction.En effet, pour la variante
AutoStart 9805-D la date d'effacement est le 24 Décembre
1998. Nous allons enfin passer un Noël tranquille!
AUTOSTART
9805-E
AutoStart 9805-E: Les caractéristiques d'AutoStart 9805-E
se situent entre 9805 Initial et 9805-B.
Les fichiers d'application et les applications de fond
sont renommés comme avec 9805 Initial. Les fichiers choisis
pour les infections et les dommages fait aux fichiers
sont identiques qu'avec 9805 Inital, sauf que ces fichiers
avec au moins 100 octets de données bifurquent et les
ressources ensembles sont visées. Le mécanisme d'infection
est identique à 9805-B. Après le 6 Juin 1999, AutoStart
9805-E cesse de se propager.
Newsletter