Virus Wanadoo /
Pays : International
Date de publication : 17 / 10 / 2003

Un nouveau virus informatique nommé Wanadoo envahi le réseau de P2P eMule. Ce ver, de 435 octets vise Windows 2000, Xp, NT, Me, 98 et 95. Ecrit en Delphi il utilise le système d'échange de fichiers eMule.

Il se copie sur le disque dur dans le dossier eMuleIncoming sous le nom d'un des fichiers suivant : AOL Hacker 2004 - Hotmail Hacker 2004 - Portable Orange (FT) Keygen - Yahoo Mail Hacker 2004 - Wanadoo Hacking Tool 2004 ou encore Alcohol 120% 1.4.8.1009 CORE Keygen et Homeworld 2 DEViANCE Keygen.

A noter que pour ces deux derniers fichiers, les noms de CORE et DEViANCE apparaissent, des noms de groupe Warez.

En savoir plus - Anglais -
http://securityresponse.symant

ps : Un virus dedie a edonkey circulait il y a qq mois "eDonkeyBacteria" il se logait dans le temp d'emul ou dans system32 et dans un clef de registre eDonkeyBacteria.

mettez les antivirus a jour.

Tu lis les news du site, de temps en temps ??? :-o :-o :-o

heu là, t'as fait copier/coller de la niouse ou t'as fait copier/coller du site dont la niouse est tirée? pasque c'est mot pout mot la meme chose!!

hé bien disons tout simplement que j'ais fait suivre une news de la mailing de zataz ne m'etend pas appercus qu'une news avait été mise en place sur le site j'ais jugé utile d'en informer les utilisateurs.

voili voila de toutes facons ce n'est pas bien grave , le plus important etant de prevenir le danger qu'il represente.

mea culpa

Et si vous en avez marre de mettre à jour vos antivirus, changez d'OS ;-) ;-)

Perso ma xMule broute tranquilement dans ma Mandrake sans craindre le grand méchant Wanadoo. ;-) ;-)

Idem, c'est agreable de se sentir en securite.

Au passage, ce n'est pas parce que zataz fait une erreur qu'il faut nécessairement la recopier.

C'est vrai pour ce post et c'est vrai aussi pour la news : la taille du fichier contenant le virus est de 435 ko (en fait 435.760 octets).

Le premier qui m'écrit un virus dans un programme windows (pas un .com ou un .exe dos) de 435 octets, en plus sous Delphi, je le lance sur ma machine pour lui faire plaisir.

Par ailleurs le lien indiqué par gamnu est incorrect et ne fonctionne pas. Voici le bon lien : Symantec Security Response - W32.HLLW.Wanado .

En 435 octet, on peut surement faire un format c: en .bat non ?

En plus, avec un peu de chance il n'est pas dans la liste des virus actuels...
(Faudrait juste ôter la demande de confirmation).

En 435 octets, et en tapant dans les interruptions basses du Bios, tu fais très mal au disque (Genre réécrire une table de partition). Ou tu détournes bêtement les interruptions vers un programlme TSR (résident) anodin et téléchargé par le virus en s'appuyant sur les API de Windows ,qui se chargera de faire le café à ta place, mais pas vraiment comme tu l'aimes.

C'est la bonne vieille méthode classique utilisée depuis que MS/DOS existe. Pour améliorer vptre inculture voir ici

Une petite démo :

mess: "Hello !",0

MOV AH,09
MOV AL,mess
INT 21h

est un programme assembleur Z80 qui affiche "Hello !" en utilisant les interruptions DOS. Le code généré fait 12 octets dont huit simplement pour le message.
Le code est compatible ascendant avec tous les processeurs compatibles, dont les Intel et AMD actuels. Bon, il y a juste une petite complication qui est le mode protégé de Windows, mais çà se feinte aussi.

Comme l'assembleur en natif passe "sous" quelque protection que ce soit en-dehors des protections des pages mémoire, imaginez les dégâts causés par la simple recopie d'une zone de 10 octets sur les pemiers secteurs d'un disque dur. çà se fait en 30 octets. Et youpi :-o :-o

Tu as donc deux nouveaux virus à lancer sur ta machine Sabel quel chance tu as !

Il ne lis pas mes posts jusqu'au bout, le OldFrog. :nonnon:

J'avais indiqué "(pas un .com ou un .exe dos)". Ce n'était pas juste pour allonger mon sujet...

Cela fait un bout de temps que je donne en assembleur, merci. Par contre, même un prog windows en assembleur qui ne fait rien :

push 0
call ExitProcess

(on peut faire encore moins, mais c'est pas "propre").

Même cela donne quand même un .exe windows de 1536 octets. Si on vire le dos stub, on gagne 96 octets. On est encore loin des 435 octets. Il faut en plus écrire un peu de code pour faire virus; à savoir dégâts (pas obligatoire) et surtout réplication (par définition, un virus doit pourvoir se répliquer).

De plus, j'avais parlé de Delphi (mais là, ce n'était pas une obligation) ...

Tout cela pour dire que lorsque l'on voit un virus sous windows de 435 octets et que cela ne fait réagir personne, cela prouve que l'on est entrain de plus en plus de perdre notre sens critique vis-à-vis des chiffres.

Dis-donc Oldfrog au fait, il semblerait bien que tu t'es mis à génommer récemment non ? En plus, au vu de ta production actuelle, t'aurais la velléité de vouloir doubler des anciens. C'est pas bô...
Faut savoir être respectueux et demander la permission avant de doubler quelqu'un (non mais).

Aucun problème !

Relisez simplement toi et et Oldfrog les conditions de mon challenge !
Après, on discute...

RELIRE ? Après une journée de boulot ???? çà va pas la tête ???

Je n'ai rien dit sur l'en-tête windows vu que la dernière fois que j'ai pissé de l'assembleur, çà date des années 90 , pour trafiquer sous Win 3.1 ( Oui, je sais, çà compte pas, c'était du DOS déguisé :-P :-P ).


Sabel, fais gaffe ,t'es trop sérieux, tu vas te casser quelque chose ;-) ;-)



Depuis le 31 aoüt MuuuhhaaahhHHHHAAAAhhAAAAhhhAAAAhhhhaaaa !!!! Alors les escargots, on mijote ??? :-P :-P

T'inquiètes pas !

Il n'y a que les coincés du gras-double qui se prennent trop au sérieux. Cela ne risque pas d'arriver chez les bretons, avec tout ce qu'ils boivent....

Sinon, pour les escargots. T'espère quand même que nous allons rester sans réagir. He, he... :-P