virus readme eml

Le Virus « readme.eml »

désormais dompté

(Sécurité Informatique)

J.B. Dadet DIASOLUKA Luyalu Nzoyifuanga

+243 - 851278216 - 899508675 - 995624714 - 902263541 - 813572818

La dernière révision de ce texte est disponible sur CD.

Il existe en circulation et donc aussi sur le .Net (Internet) un virus très sau-

vage, démoniaque, très malintentionné qui s’assigne de détruire tous les fi-

chiers «.html» ou «.htm» et donc à paralyser l’Internet. Ces fichiers sont en ef-

fet les plus utilisés sur l’Internet (bien sûr avec les fichiers «.psp», «.asp» et

autres...) donc ça fait partie du moteur ou même des poumons de l’Internet.

Je ne connais pas le nom de ce virus, mais ça doit être le suivant :

Je suis bien heureusement arrivé à le repérer sur disque et à comprendre tant

soit peu (pas mieux que les professionnels en la matière bien entendu), son

comportement, et ses intentions :

1. Saturer les supports d’information (disques durs, mémoires électroniques

[flash disk, cartes mémoires, SD,... ] ;

Le Virus « readme.eml » désormais dompté

Nz. Luyalu DIASOLUKA Jean-Dadet Baptiste - 2/16 - jeudi 22 août 2019 (1:53 PM)

2. Faire supprimer les fichiers [infectés] par les anti-virus, donc vous faire

perdre le travail et le temps investi sur lui ;

3. Peut-être aussi saturer la bande passante ;

4. Bouffer les mégas disponibles pour l’Internet...

1. Saturer les supports d’information :

À intervalle régulier, il parcourt les fichiers «.html» ou «.html» et leur ajoute, à

la fin, le contenu suivant (une seule ligne à la fois) :

Chaque ligne comporte 237 caractères donc au moins 237 bytes. Rien que

dans le fichier ci-dessus, il occupe donc [au moment de l’interception] au

moins 9 × 237 = 2'133 octets (2,0830078125 kB). Si 10'000'000 fichiers sont

ainsi infestés, ce code occupera 21’330’000'000 (208’30’078,125 kB =

20’341,87 MB = 19,87 GB = 0,019 TB).

Vous pouvez lire ce code à la fin d’un fichier «.html» infecté que vous devez

lire avec un éditeur de texte. Je crois que si vous chargez un fichier de ce

genre dans un navigateur une grande catastrophe, un grande cataclysme

pourrait s’en suivre, l’ouverture en cascade de plusieurs fenêtres

«readme.elm», invisible à l’écran (top=left=6’000), mais surchargeant la mé-

moire RAM de l’ordinateur, et ralentissant aussi tant soit peu mais double-

ment la machine) :

2. Faire supprimer les fichiers [infectés] par les anti-virus ;

Les grands antivirus mis-à-jour reconnaissent les

fichiers infestés, mais au lieu de supprimer seule-

ment le code malveillant dans le fichier (nettoyer

le fichier infesté), ils effacent tous les fichiers in-

festés (même les fichiers primordiaux/indispensables) et ne les mettent même

pas en quarantaine pour une désinfection manuelle.

Le Virus « readme.eml » désormais dompté

Nz. Luyalu DIASOLUKA Jean-Dadet Baptiste - 3/16 - jeudi 22 août 2019 (1:53 PM)

3. et 4. : Saturer la bande passante et bouffer les mégas destinés à la naviga-

tion Internet :

LE FICHIER «README.ELM» :

C’est un fichier qui est vraisemblablement automatiquement envoyé à autant

de destinataires qu’il veut, un «dialer ?»

L’entête du fichier «readme.elm» comprend le message suivant :

Comme on peut le deviner dans ce code, le virus envoie à votre insu et à tous

les destinataires qu’il peut, le message, avec comme e-mail source le nom de

votre machine@yahoo.com, et l’ID «I miss you» suivi d’un nom de serveur

probablement factice (imissyou@btamail.net.cn) :

Le sujet du message :

Si vous voyez donc un message comportant ce genre de sujet, ne l’ouvrez pas

et surtout effacez-le directement à défaut de le signaler à qui de droit.

l’intégralité de ce fichier «readme.elm» qui probablement est envoyé par dia-

ling automatique, est comme suit, toujours le même dans tous les répertoires

qu’il infecte.

Le Virus « readme.eml » désormais dompté

Nz. Luyalu DIASOLUKA Jean-Dadet Baptiste - 4/16 - jeudi 22 août 2019 (1:53 PM)

TVpQAAIAAAAE-

AA8A//8AALgAAAAAAAAAQAAaAAAAAAAwE+W4AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAEAALoQAA4f

tAnNIb-

gBTM0hkJBUaGlzIHByb2dyYW0gbXVzdCBiZSBydW4gdW5kZXIgV2luMzINCiQ3AAAAAAAAAAAAAAAAAA

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

AAAFBFAABMAQQAtSzvg-

gAAAAAAAAAA4ACOgQsBAhkAAgAAAAYAAAAAAAAARAAAABAAAAAgAAAAAEAAABAAAAACAAABAAAAAAAAA

AMACgAAAAAAALAAAAAE-

AADq3gAAAgAAAAAAEAAAIAAAAAAQAAAQAAAAAAAAEAAAAAAAAAAAAAAAADAAAE4AAAAAAAAAAAAAAAAA

AAAAAAAAAAAAAAAAAAAAQAAADAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQ09ERQAAAAAAEAAAABAAAAAC

AAAABgAAAAAAAAAAAAAAAAAAIAAAYERBVEEAAAAAABAAAAAgAAAAAgAAAA-

gAAAAAAAAAAAAAAAAAAEAAAMAuaWRhdGEAAAAQAAAAMAAAAAI-

AAAAKAAAAAAAAAAAAAAAAAABAAADAL-

nJlbG9jAAD8bQAAAEAAAAAeAAAADAAAAAAAAAAAAAAAAAAAYAAA8AAAAAAAAAAAAAAAAAAAAAAAAAAAA

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

AAAAAAAAAAAAAAAw/8lMDBAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

Le Virus « readme.eml » désormais dompté

Nz. Luyalu DIASOLUKA Jean-Dadet Baptiste - 5/16 - jeudi 22 août 2019 (1:53 PM)

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

AAAAAAAAAAAAAAAAAAAACgwAAAAAAAAAAAAADgwAAAw-

MAAAAAAAAAAAAAAAAAAAAAAAAAAAAABGMAAAAAAAAEY-

wAAAAAAAAS0VSTkVMMzIuZGxsAAAAAFNsZWVwAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAABAAAA-

wAAAADMAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAG

Do5hkAAIt0JCDoCAAAAGFoABBAAMPpWegBFgAAgeYA8P//ge4AEAAAZoE+TVp18w+3fjwD/otveAPui1

0gA94zwIvWg8MEQIs7A/roDwAAAEdldFByb2NBZGRyZXNzAF4zybEP/POmddqL8otdJAPeD7cMQ4tdHA

Peixy-

LA96B7PwAAACL/Im0JOAAAADoXgQAAIvpVv/T/KuLzeL1iwQk6AsAAABVU0VSMzIuRExMAP/Qi/DoywY

AAIvpVv/T/KuLzeL1iwQk6A0AAABBRFZBUEkzMi5ETEwA/9CL8OgdBwAAi+lW/9P8q4vN4vWLBCToCAA

AAE1QUi5ETEwA/9CL8OhcBwAAi+lW/9P8q4vN4vWLBCToDAAAAFdTT0NLMzIuRExMAP/Qi/DofAcAAIv

pVv/T/KuLzeL1i/ToEAAAAENoaW5lc2VIYWNrZXItMgBqAGoA/1YE/1YIC8B0Aszp/1YMagFQ/1YQ6Gg

BAACL9OgNAAAAi/RoYOoAAP9WROvv6VnolRQAAOglCgAAjYIeAQAAiQLoDAoAAI1CLZCQkIkC6GEIAAD

o+gkAAI1CO5CQkIkC6HYIAADo9AkAAI2ClwAAAIkC6NsJAACNQi2QkJCJAugwCAAA6MkJAACNQjuQkJC

JAu-

hFCAAAi4boAAAAaGDqAABQ/1Zkg/j/dFxW6EoAAABe6DsAAABOZXQgU2VuZCAqIE15IGdvZCEgU29tZS

BvbmU-

ga2lsbGVkIENoaW5lc2VIYWNrZXItMiBNb25pdG9yAFhqAFD/VhDrnFnoyRMAAOhaAQAA6egAAAAAX4u

GjAAAAImH/RUAAIuGlAAAAImHERYAAIuGmAAAAImHJhYAAItGRImHZhYAAI2HvBUAAFBUagBQUGoAagD

/VnSL2FiLhugAAABoYOoAAFD/VmRQagBT/1Z4WIP4/3QCzOlW6AMAAABe69lZ6E0TAADo3gAAAOlZ6EE

TAACB7AABAABU6OwGAACL/GoQV/9WcIP4/3Qdi9johRMAAGoAagBT/1Y8U+hjCwAAi/xqB1f/VihQVOg

uAAAAU09GVFdBUkVcTWljcm9zb2Z0XFdpbmRvd3NcQ3VycmVudFZlcnNpb25cUnVuAGgCAACA/5agAAA

AW4vE6AgAAABSdW5vbmNlAFloAAEAAFBqAWoAUVP/lqQAAADoAAAAAF+LhqgAAACJh4QVAACLhqQAAAC

Jh64VAACLhqwAAACJh5kVAACNh10VAABQVGoAU1BqAGoA/1Z0WDPAiYboAAAAgewAAQAAVOgNBgAA6AA

AAABfi0ZQiYd7FQAAi0ZkiYeXFQAAi0YQiYeyFQAAi0ZIC8B0b2oBagD/0IuW4AAAAA+3WjwD2ouLBAE

AAItrVCvNgfkAA-

gAAckgD6o2XchUAAGpOkJCQkFVS6GQVAACNTU6QkJCL1GgAAQAAUVLoUBUAAP9WTFBUagBQVWoAagD/V

lyJhugAAABYaPQBAAD/VkTM6WoAagD/lowAAABQVFD/logAAABqAGj/Dx8A/1ZQC8B0b4vYakBoABAAA

GgAA-

gAAagBT/1ZoC8B0S4vojZdyFQAAUFRqTpCQkJBSVVP/VlRYg/hOkJCQdSyL1I1NTpCQkFBUaAABAABSU

VP/VlT/VkxUagBQVWoAagBT/1ZYiYboAAAAWFP/VmBo9AEAAP9WRMzpWIvM6A4AAABHZXRTeXN0ZW1Ua

W1lAOgRAAAAR2V0Q29tcHV0ZXJOYW1lQQDoFAAAAFdpZGVDaGFyVG9NdWx0aUJ5dGUA6BAAAABUZXJta

W5hdGVUaHJlYWQA6A0AAABDcmVhdGVUaHJlYWQA6AgAAABfbGNyZWF0AOgUAAAAR2V0U3lzdGVtRGlyZ

WN0b3J5QQDoDwAAAFZpcnR1YWxBbGxvY0V4AOgUAAAAV2FpdEZvclNpbmdsZU9iamVjdADoDAAAAENsb

3NlSGFuZGxlAOgTAAAAQ3JlYXRlS2VybmVsVGhyZWFkAOgTAAAAQ3JlYXRlUmVtb3RlVGhyZWFkAOgTA

6

7

8

9

10

11

12

13

14

15

16

virus readme eml

Documents connexes

Faire une suggestion

Produits

Assistance

Produits

Assistance

virus readme eml

Documents connexes

Faire une suggestion

Produits

Assistance

Ajouter ce document à la (aux) collections

Ajouter ce document à enregistré

Suggérez-nous comment améliorer StudyLib