úú-[DSk Bulletin Officiel!]-úú ÚÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ¿³úúCe MeSSaGe EsT AdreSSe A Tous Les SySops Et UseRs De BBS!úú³ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙú Sujet: VIRUS InDeTecTable & PolyMorpHe! ú úINDETECTABLE: *PAR LES ANTIVIRUS:Que ce soit F-Prot,Scan de McAfee,Central Point Antivirus, Microsoft Antivirus,VSafe (pourtant install‚ en m‚moire r‚sidente),... quasiment aucun antivirus n'a pratiquement det‚ct‚ le virus en question et seulement deux m'ont signal‚ une possible contamination de fichiers par un virus :Tbav,qui malheureusement n'est pas fiable car en mode 'high heuristic' peut confondre certaines routines de logiciels avec celles de virus! En effet,il me signale parfois que certains de mes fichiers sont contamin‚s par un virus inconnu or je les utilise fr‚quemment:s'ils avaient ‚t‚ v‚ritablement contamin‚s,d'autres fichiers devraient dans ce cas l… ˆtre aussi contamin‚s.J'ai alors v‚rifi‚ et je ne pouvais que conclure que ce n'‚tait pas 1virus (pour v‚rifier,j'ai lanc‚ plusieurs fois l'antivirus en question aprŠs avoir lancer le fichier sens‚ ˆtre infect‚ suivi d'un autre non infect‚)et enfinAVSCAN,un autre shareware,plus fiable.Ce dernier en effet avec peu de marge d' erreur m'a signal‚ que certains fichiers "semblent avoir ‚t‚ endommag‚ par un un virus",certains en commun avec ceux trouv‚s par TBav.Je ne pouvais que conclure qu'il s'agissait bien d'une infection virale et non un bug de mes programmes.Bref, il faut dire que tous ces antivirus ,sans exception n'ont det‚ct‚ aucune pr‚sence virale en m‚moire alors que le virus ‚tait bien pr‚sent et actif (j'ai copi‚ AVSCAN,provenant d'un CD-ROM shareware,sur le HD Je l'ai alors lanc‚,il m'a indiqu‚ que son fichier a ‚t‚ modifi‚ et qu'il ‚tait fort probable qu'il s'agisse de l'oeuvre d'un virus) *PAR LES BBS:A cela il faut ajouter que le virus est pass‚ au travers des diff‚rents filtres antivirus d'une BBS (ex:BOOMLAB) *SOUS DOS:J'ai compar‚ ,avec un simple dir,la taille d'un programme infect‚ avec sa version non infect‚:il n'y a aucune diff‚rence.Le virus alors d‚truit -il une partie des donn‚es du programme infect‚ pour s'y int‚grer? La r‚ponse est non.En fait,le virus s'ajoute en fin de fichier.En comparant les deux fichiers en question avec un logiciel (ex:PCTOOLS),il apparaŒt que les fichiers ne sont pas ‚gaux en taille.Il semble fort probable que le virus fait croire que le fichier infect‚ n'a pas chang‚ de taille sous DOS,ce qui bien s–r est visible avec un logiciel tel que PCTOOLS. úPOLYMORPHE:AprŠs analyse des diff‚rents fichiers infect‚s,je ne pus qu'en conclure que le virus est polymorphe.En effet,j'ai recens‚ au moins 5 d‚buts de chaŒnes diff‚rentes pour le virus en question si l'on ne prend en compte que que les 4 premiers octets , autrement il doit y avoir une 100aine de chaŒnes possibles car il est fort probable que le virus soit une sorte de combinaison et d'arrangement de ses propres routines (ce qui combin‚,favorise sa diversit‚) mais,en g‚n‚ral,on peut localiser le virus juste … partir des 4 premiers octets ce qui laisse un petit pourcentage d'erreur (deux fichiers ZIP ont ‚t‚ d‚crit comme infect‚s alors qu'ils peuvent l'ˆtre ‚tant ZIP et ne pouvant s'‚x‚cuter). Toutes ces chaŒnes s'‚taient form‚s … partir d'une seule souche du virus! úSYMPTOMES:Les premiers sympt“mes se font tout de suite ressentir dŠs que le virus s'active:plantage des programmes par des divisions par z‚ro,programme bloqu‚ en cours d'ex‚cution,souris qui ne marche plus(… ma propre connaissance). úCIBLES:Il semble que les fichiers touch‚s soient les fichiers ex‚cutables, *.EXE,*.COM,*.OVR et surement pleins d'autres,sous une autres extension mais qui sont en fait des ‚x‚cutables ("MZ" dans le Header).Pas d'inqui‚tudes,il ne touche pas apparemment le secteur BOOT. úCONSEQUENCES:A ma connaissance,il ne fait que pour l'instant planter les programmes mais il est possible qu'il y ait d'autres cons‚quences plus graves. úDETECTION:J'ai r‚ussi … isoler les diff‚rentes chaŒnes.En analysant sa structure,j'en ai d‚duis un peu prŠs tous les arrangements possibles que le virus pouvait avoir (8 au total dont 5 v‚rifi‚s).Il vous suffit maintenant d'‚x‚cuter un logiciel qui permet de rechercher de nouvelles chaŒnes de virus(exFPROT ou SCAN).Les nouvelles chaŒnes sont dans le fichier VIRUS.ID ci-joint Ce fichier a ‚t‚ sp‚cialement con‡u pour SCAN de McAfee.Pour les autres antivirus,il vous faudra vous adapter pour faire valider les nouvelles chaŒnes du virus. Pour SCAN:,taper SCAN drivecible1 drivecible2 /A /M /CHKHI /EXT filename Exemple->pour scanner la drive c: et d: et sachant que votre fichier VIRUS.ID se trouve dans le C:\TEMP,taper: SCAN C: D: /A /M /EXT C:\TEMP\VIRUS.ID úDESTRUCTION DU VIRUS:Le seul moyen,… ma connaissance,c'est de d‚truire les fichiers infect‚s.Si quelqu'un ,ayant ‚t‚ contamin‚ par la chose, a la possibilit‚ d'envoyer le virus se faire ‚tudier par un laboratoire anti-virus informatique,cas o— l'anti-dote est trouv‚ ,veuillez bien l'uploader le plus vite possible sur BBS … The Raver'S Zone ou Access Denied! PAS DE FAKE S'IL VOUS PLAIT! PEUT-ETRE QUE LE VIRUS VOUS A DEJA CONTAMINE... A l'heure o— je vous ‚cris,le virus a ‚t‚ localis‚ et isol‚,cependant il se peut que certaines personnes soient contamin‚s.Aux derniŠres nouvelles,il  apparaŒt que le virus provient d'un fichier mis en DOWNLOAD sur le BBS  Hallucinogen.Quoi qu'il en soit,le virus est quasiment indetectable par la  plupart des antivirus,d‚sormais m‚fiez-vous!  [úú-Article ‚crit par SNeM/DSk!-úú]