W32/Braid-A

Veuillez suivre les instructions de suppression des vers.

Windows 95/98/Me

Il existe une version de base de SWEEP pour DOS dans le dossier Tools\ESD du CD-ROM Sophos ou disponible au téléchargement à partir de la page Distribution d'urgence de SAV (DOS) de la rubrique Téléchargements. Copiez les fichiers dans le répertoire C:\Sophtemp de votre ordinateur. Ajoutez tout fichier IDE nécessaire.

Sous Windows 95/98

• Redémarrez l'ordinateur en mode MS-DOS.
  Remarque : démarrez l'invite de commandes (une fenêtre DOS) n'est pas suffisant.


• Allez dans le menu Démarrer et sélectionnez Arrêter. Choisissez l'option 'Redémarrer l'ordinateur en mode DOS'.

Sous Windows Me

• Windows Me ne vous permet pas de passer directement en mode MS-DOS. Vous devez créer une disquette de démarrage et démarrer à partir de celle-ci.


• Allez dans Démarrer|Paramètres|Panneau de configuration. Cliquez 'Ajout/Suppression de programmes', sélectionnez l'onglet 'Disquette de démarrage' et cliquez sur le bouton 'Créer la disquette'.


• Lorsque vous avez créer la disquette de démarrage, protégez-la en écriture et démarrez à partir de celle-ci.

Allez dans le répertoire Sophtemp et exécuter SWEEP pour DOS afin de désinfecter les fichiers infectés par W32/FLCSS.

C:
CD \SOPHTEMP
SWEEP C: -DI -NOC

Répétez ce processus pour tous les autres disques durs, (par ex. SWEEP D: -DI -NOC.)

Utilisez ensuite SWEEP pour DOS afin de supprimer les fichiers de W32/Braid-A.

SWEEP C: -REMOVEF -NOC

Répétez ce processus pour tous les autres disques durs, (par ex. SWEEP D: -REMOVEF -NOC.)

Effectuez un autre contrôle afin de vous assurez que tous les fichiers ver et virus ont été supprimés.

Windows NT/2000/XP

Sur un ordinateur sain, ouvrez le dossier WIN32\I386\SAV32CLI à partir du CD-ROM Sophos et copiez ce dossier sur un média qui peut être protégé en écriture. Ajoutez le fichier IDE pour W32/Braid-A dans ce dossier et protégez le disque en écriture (sur un CD/R ou CD/RW, fermez la session). Autrement, exécutez le fichier auto-extractible SAV32CLI sur un ordinateur Windows sain afin de créer le dossier, puis suivez les instructions ci-dessous.

Sous Windows NT

• Connectez-vous en tant qu'administrateur local.


• Arrêtez tous les programmes.

Sous Windows 2000

• Allez dans Démarrer|Arrêter.


• Sélectionnez Redémarrer dans la liste déroulante et cliquez sur OK. Windows redémarrera.


• Pressez F8 lorsque vous voyez le texte suivant au bas de l'écran "Pressez F8 pour la résolution de problèmes et les options de démarrage avancées".


• Dans le Menu d'options avancées de Windows 2000, sélectionnez l'option "Mode sans échec".


• Lorsque vous y êtes invitez, connectez-vous en tant qu'administrateur local.

Sous Windows XP

• Allez dans Démarrer|Arrêter.


• Sélectionnez Redémarrer dans la liste déroulante et cliquez sur OK. Windows redémarrera.


• Pressez F8 plusieurs fois lorsque l'ordinateur démarre pour obtenir le Menu d'options avancées de Windows 2000.


• Dans ce menu, sélectionnez la première option "Mode sans échec" puis sélectionnez Windows XP.


• Lorsque vous y êtes invitez, connectez-vous en tant qu'administrateur local.

Fermez maintenant les applications et processus du virus et du ver.

• Pressez les touches Ctrl, Alt et Suppr en même temps.


• Cliquez sur le Gestionnaires des tâches


• Sélectionnez l'onglet Applications.


• Recherchez Bride.exe et arrêtez-le si il existe. Soyez sûr qu'il ne soit plus en cours d'exécution.


• Sélectionnez l'onglet Processus.


• Recherchez Bride.exe et arrêtez-le si il existe. Soyez sûr qu'il ne soit plus en cours d'exécution.


• Laissez le Gestionnaire des tâches ouvert.


• Allez dans Fichier|Nouvelle tâche (exécuter) et entrez 'Cmd'.


• Insérez la disquette protégée en écriture à partir de laquelle vous utilisez SAV32CLI.

Exécutez SAV32CLI (E: est le lecteur de CD-ROM dans cet exemple).

E:
CD \SAV32CLI
SAV32CLI C: -DI -NOC
SAV32CLI C: -REMOVEF

Notez tous les fichiers de programme qui n'ont pas pu être désinfecté ou supprimé.

Retournez dans le Gestionnaire des tâches et sélectionnez l'onglet Processus.

Arrêtez tous les programmes que vous n'avez pas désinfecter. (Vérifiez leurs noms.)

Retournez à la fenêtre de l'invite de commandes et désinfecter les fichiers que vous avez débloqués.

SAV32CLI C: -DI -NOC

Répétez ce processus sur tous les autres lecteurs, par ex. pour le lecteur D:

SAV32CLI D: -DI -NOC
SAV32CLI D: -REMOVEF

Effectuez un autre contrôle afin de vous assurer que tous les fichiers ver et virus ont été supprimés.

Vous aurez aussi besoin de supprimer de la base de registre la clé suivante pour chaque utilisateur qui a exécuté le virus.

Dans la barre des tâches de Windows, sélectionnez Démarrer|Exécuter. Tapez "Regedit". L'éditeur de registre s'ouvrira.

Avant d'éditer le registre, vous devrez faire une sauvegarde du registre. Dans le menu Registre, cliquez sur Exporter le fichier du registre, dans Etendue de l'exportation, sélectionnez Tout puis sauvegardez votre registre.

Chaque utilisateur a une zone de registre nommée HKEY_USERS\[code indiquant l'utilisateur]\. Pour chaque utilisateur, recherchez la clé :

HKU\[code]\Software\Microsoft\Windows\CurrentVersion\
Run\regedit = C:\WINDOWS\SYSTEM\regedit.exe

et supprimez-la si elle existe.

Fermez l'éditeur de registre et redémarrez votre ordinateur.

Vous devrez aussi installer le correctif disponible à partir du Bulletin de sécurité MS01-027 de Microsoft ou consultez www.windowsupdate.com pour une mise à jour complète.

Autres plates-formes

Veuillez utiliser les instructions de suppression des vers.

W32/Braid-A est un ver internet qui s'envoie par e-mail à tous les contacts présents dans le carnet d'adresses de Microsoft Outlook.

Le ver essaie d'exploiter une faille MIME et une faille IFRAME de certaines versions de Microsoft Outlook, Microsoft Outlook Express et d'Internet Explorer. Ces failles permettent à une pièce jointe exécutable de s'exécuter automatiquement, même si vous ne double-cliquez pas sur la pièce jointe. Microsoft a publié un correctif qui protège contre ces attaques. Ce correctif peut être téléchargé à partir du Bulletin de Sécurité de Microsoft MS01-027. (Ce correctif a été publié pour adresser un certain nombre de failles dans le logiciel de Microsoft, incluant celle utilisée par ce ver.)

Lorsqu'il est exécuté pour la première fois, le ver se copie sur le Bureau sous le fichier Explorer.exe, dans le dossier System sous le fichier Regedit.exe et crée dans la base de registre l'entrée

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\regedit = C:\WINDOWS\SYSTEM\regedit.exe

pour que ce fichier soit exécuté automatiquement à chaque fois que l'ordinateur est redémarré.

Le ver place W32/Flcss dans le dossier System sous le nom de fichier Bride.exe. Bride.exe est alors exécuté lorsqu'un autre fichier exécutable est lancé.