W32/Magistr-B

Veuillez suivre les instructions de désinfection des exécutables PE.

Veuillez lire les instructions pour supprimer W32/Magistr-B.

W32/Magistr-B est une variante de W32/Magistr-A, un virus, résident en mémoire, polymorphe de fichiers exécutables Windows 32 qui se propage en infectant les fichiers et par le biais des e-mails.

Le virus termine ZoneAlarm avant de se connecter à l'Internet. Il recherche alors des adresses e-mail dans le carnet d'adresses de l'utilisateur, ses boîtes de courrier et autres fichiers présents sur l'ordinateur. Le virus cible spécifiquement les adresses d'Outlook Express, Netscape Messenger, Internet Mail et News et Eudora. Il s'envoie alors à ces adresses e-mail en utilisant son propre client SMTP.

Le message e-mail qu'il envoie a un sujet et corps de texte générés au hasard. Ces champs sont générés à partir du contenu des documents et des fichiers texte trouvés sur l'ordinateur de l'utilisateur. Ils peuvent ainsi contenir des informations confidentielles. Le virus s'envoie comme pièce jointe, le nom est soit le nom original du fichier infecté soit un nom généré au hasard. Il utilise l'une des extensions suivantes : COM, BAT, PIF et EXE. Parfois il attache aussi des fichiers supplémentaires GIF, DOC ou TXT à l'e-mail.

W32/Magistr-B infecte les fichiers EXE et SCR de Windows sur la machine locale et sur le réseau local. Il supprime tous les fichiers NTZ lorsqu'il recherche les fichiers. Le virus s'assure qu'il est automatiquement exécuté lorsque l'ordinateur est redémarré, en sélectionnant au hasard l'une des trois méthodes suivantes :

1. Ajout de l'entrée suivante dans le fichier win.ini :

   [WINDOWS]
   run=infectedfilename

2. Ajout de l'entrée suivante dans le fichier system.ini :

   [boot]
   shell=explorer.exe infectedfilename

3. Configuration de la clé de registre suivante :

   HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
   Run\infectedfile = <chemin vers le fichier infecté>

Il modifie aussi le fichier INI approprié sur les autres ordinateurs du réseau pour qu'ils exécutent le virus lorsqu'ils sont redémarrés.

Selon le temps écoulé entre la première infection de l'ordinateur et d'autres compteurs internes, les charges suivantes peuvent être activées :

1. Réécriture de win.com et de ntldr par du code qui réécrira le secteur de démarrage maître du disque dur la prochaine fois que l'ordinateur est redémarré.
2. Réécriture de tous les fichiers par la chaîne "YOUARESHIT".
3. Affichage du message
   "Another haughty bloodsucker.......
   YOU THINK YOU ARE GOD,
   BUT YOU ARE ONLY A CHUNK OF SHIT".
4. Réécriture (sous Win9x) du secteur de redémarrage du disque dur pour que l'ordinateur ne démarre plus.
5. Modification des icones du Bureau pour qu'ils "fuient" le curseur de la souris.

Remarque : Comme le virus se propage en utilisant l'extension .BAT, le support technique de Sophos recommande aux utilisateurs de la version 3.48 ou inférieure d'ajouter BAT à la liste des extensions de fichier exécutable que Sophos Anti-Virus contrôle. Ces instructions sont disponibles dans le FAQ Comment ajouter des extensions à la liste des fichiers exécutables.

Pour supprimer W32/Magistr-B des systèmes infectés, Sophos recommande aux utilisateurs de supprimer tous les fichiers infectés et de les remplacer par des copies saines à partir de sauvegarde ou du média original.