Comment enlever le lien de "Wode.jpg" dans Messenger?

 

Nous avons dernièrement reçu des demandes sur le forum de support d’utilisateur, faisant référence à un virus au travers de MSN Messenger, avec la caractéristique qu’il installe dans les conversation un message en Chinois/Japonnais (nous supposons..) avec un lien comme le montre l’image suivante.

 

 

Nous avons consulté l’expert José Luis Lopez (Vidéo Computacion et VSAntivirus), il nous a dit que ce virus n’utilise pas la vulnérabilité des JPEG décrite dans le bulletin MS04-028 comme nous l’avions supposé dans un premier temps (la confusion vient du fait que le lien est une supposée image JPG) mais qu’il utilise la vulnérabilité décrite dans le bulletin MS04-013 bien que celui-ci soit un cumulatif pour OE, il n’est pas que cela.

 

Quoi qu’il en soit le lien WODE.JPG est réellement un html, contenant un IFRAME de l’image d’une femme japonaise avec un script contenu dans le HTML qui contient à proprement parler le troyen, qui lorsqu’il s’exécute, crée dans la base de registre

"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" les valeurs suivantes :

“realone_nt2003"

"realone_nt2004"

 

De plus, il installe les fichiers "MONIKER.EXE", "SYSLRAY.EXE", "HKT1.DLL" dans le dossier X:\ Windows\System32\

(X étant le disque où est installé l’OS)

et modifie la configuration de MSN Messenger pour introduire le lien qui n’apparaît pas dans la fenêtre de l’utilisateur infecté.

 

Processus de désinfection

 

Note : Au moment d’écrire ces lignes, il n’existe pas d’information(s) officielle(s) de la part des entreprises d’antivirus ni une étude de fond sur son comportement, ce n’est pas pour cela que nous devons écarter la recherche et l’analyse de Maleware comme décrite ici.

 

Nous avons élaboré un petit script pour éliminer cet ennui. Pour cela suivez ce processus :

 

1-Fermer complètement votre MSN Messenger depuis l’icône à coté de l’horloge de Windows (clique droit > fermer), actualiser votre anti-virus et scanner complètement votre machine, éliminer les fichiers détectés comme infectés.

 

2-Fermer et désactiver temporairement le scanne de votre anti-virus. Comme le Script contient des instructions pour supprimer des clés du registre et des fichiers, son exécution pourrait être bloquée.

 

3-Exécuter le Script  NoWode.VBS  depuis cette page.

 

Avis : les valeurs initiales de MSN Messenger seront rétablies et il éliminera les personnalisations du programme, images de fonds, emoticons, configuration personnelle, etc.).

Mise au point : l’administration des contacts est réalisée sur les serveurs de MSN, Vous ne perdrez ni ne changerez  le statut d’aucun contact.

 

4-Redémarrez votre système et appliquez les actualisations en attente sur Windows Update et Office Update.

 

5-Pour obtenir des informations sur ce ou d'autres virus, consultez la page de VSAntivirus.com

 

Désinfection Manuelle

 

La désinfection manuelle pas à pas sera la suivante:

 

1-Fermer complètement MSN Messenger dans la barre des tâches (Systray)

Clique droit sur l’icône correspondant à MSN Messenger qui est a coté de l’horloge de Windows et choisir « Fermer »

 

2-Allez dans « Administrateur des tâches » de Windows (CTRL+ALT+DEL) et mettez fin au processus :

                                        --> MONIKER.EXE

                                        --> SYSLRAY.EXE

                                        --> HKT1.DLL

 

3-Supprimez les entrées de registre suivantes:

DEMARRER > EXECUTER > regedit , allez à la clé "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run",

et supprimez les valeurs:

 

------>> realone_nt2003 <<------
------>> realone_nt2004 <<------

        

4-Avec l’Exploreur de Windows (cliquez sur l’icône Poste de travail) allez à X: windows\system32\  (X est votre unité système(Disque Dur)),

et éliminez les fichiers suivants:

 

------>> MONIKER.EXE <<------
------>> SYSLRAY.EXE  <<------
------>> HKT1.DLL <<------

 

5-Eliminez les dossiers et registre de configuration de MSN Messenger :

 

a) Videz les temporaires et le cache

b) Supprimez le dossier de configuration de MSN Messenger de l’utilisateur infecté :  Démarrer > Exécuter: %appdata%\Microsoft (entrer) et effacez le dossier « MSN Messenger »

c) Supprimez la configuration de MSN Messenger dans le registre de Windows. Entrez dans l’éditeur de registre (démarrer > exécuter Regedit) et supprimez la clé "HKEY_CURRENT_USER\Software\Microsoft\MSNMessenger"

 

6-Redémarrez et actualisez Windows depuis http://v5.windowsupdate.microsoft.com

    Vous devrez aussi actualiser MS Office http://office.microsoft.com/officeupdate/

 

@lain Delveaux [MVP]   &  @nthony Labbé [BetaTesteur]