XGEN : Description du virus W32.Goner.A@mm et procédure de nettoyage d'un environnement Exchange

Traductions disponibles Traductions disponibles
Numéro d'article: 314002 - Voir les produits auxquels s'applique cet article
Ancien nº de publication de cet article : F314002
Cet article a été archivé. Il est proposé « en l'état » et ne sera plus mis à jour.
Agrandir tout | Réduire tout

Sommaire

Résumé

Cet article fournit des informations sur le virus W32.Goner.A@mm et explique comment débarrasser un environnement Exchange d'une infection par ce virus.

Plus d'informations

Win32.Goner.A@mm est un virus de type "worm" (write once, read many times). Il ne s'exécute pas automatiquement, mais uniquement si un utilisateur ouvre la pièce jointe nommée Gone.scr, GONE.SCR ou gone.scr. Ce virus présente un danger "moyen" pour la charge réseau et un risque général "élevé" pour les environnements Exchange. La longueur d'infection de ce virus est de 38 912 octets.

L'objet et le texte du message électronique sont :
Objet du message électronique : Hi

"How are you ?

When I saw this screen saver, I immediately thought about you. I am in a harry, I promise you will love it!"
Le message contient la pièce jointe Gone.scr.

Ce virus se propage par son envoi automatique à tous les utilisateurs figurant dans le Carnet d'adresses Microsoft Outlook. Par conséquent, la pièce jointe ne s'exécute pas automatiquement lorsque l'utilisateur ouvre le message et le virus ne s'active pas automatiquement lorsque le message contenant le virus est sélectionné et que le volet de visualisation est utilisé pour afficher le message. W32.Goner.A@mm est un virus de type envoi de messages en nombre écrit en Microsoft Visual Basic. Le virus est également compressé à l'aide d'un compresseur de fichiers connu. Il se répand aussi sur les réseaux ICQ et IRC.

Lorsque W32.Goner.A@mm est exécuté, il commence par afficher une fenêtre About (À propos de). Il commence ensuite à se propager via le Carnet d'adresses Outlook. Il s'envoie lui-même à toutes les adresses qu'il peut trouver.

Le virus ajoute en outre une clé de registre appelée C:\système\gone.scr (où système représente le chemin d'accès au dossier Windows\System). Cette clé a la même valeur que son nom et se situe dans le chemin de registre suivant :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Pour obtenir des informations techniques détaillées supplémentaires, consultez le site Web de votre fournisseur d'antivirus.

Procédure de nettoyage de votre environnement Exchange

Recommandations générales

  1. Fermez toutes vos passerelles Internet de façon à arrêter l'afflux du virus dans votre entreprise.
  2. Demandez aux utilisateurs Exchange d'installer le correctif de sécurité de Microsoft Outlook 2000 sur les ordinateurs clients. Vous pouvez télécharger ce correctif à partir du site Web Microsoft dont l'adresse figure ci-après :
    http://office.microsoft.com/france/downloads/2000/Out2ksec.aspx
  3. Nettoyez les composants spécifiques à Exchange. Pour obtenir des instructions pour chaque composant, consultez la section "Instructions spécifiques" de cet article.
  4. Installez les derniers fichiers de signature de votre fournisseur d'antivirus, qui détectent et éliminent le virus.
  5. Pour éviter une nouvelle infection, vous devez effectuer toutes les étapes précédentes avant d'activer vos passerelles Internet.

Instructions spécifiques

Pour obtenir des informations détaillées et spécifiques qui vous permettront de nettoyer votre organisation Exchange, téléchargez le fichier zip approprié en cliquant sur l'un des liens suivants (versions anglaises). Exchange 2000 Server et Exchange Server 5.5 ont leurs propres packages prêts à télécharger : Ces packages contiennent des instructions complètes et détaillées sur la façon de procéder pour nettoyer des ordinateurs Exchange 2000 et Exchange Server 5.5. Vous y trouverez notamment des instructions sur le nettoyage de la banque d'informations, de l'Agent de transfert de messages (MTA) et des composants de transport.

Liens supplémentaires pour obtenir des informations sur le virus

Tous les principaux fournisseurs d'antivirus disposent de fichiers de signature capables de détecter et d'éliminer ce virus. Installez la mise à jour appropriée la plus récente pour être sûr d'être protégé. La liste suivante présente des informations de fournisseurs d'antivirus :
  • Fichiers de signature de virus mis à jour - moteur InoculateIT :
    Version 23.48.49 (version de moteur 23.48.00)
  • Fichiers de signature de virus mis à jour - moteur Vet :
    La signature Vet sera 10.4.1678 (moteur de détection uniquement version 10.4.1)
  • Fichiers de signature de virus mis à jour Inoculan 4.0/InoculateIT 4.5x :
    Version 30.49 (version de moteur 30.00)
Pour obtenir des informations détaillées supplémentaires, consultez le site Web de votre fournisseur d'antivirus. La liste suivante répertorie quelques-uns de ces sites (en anglais) :

Articles utiles de la Base de connaissances

246916 XADM : Procédures pour rechercher les boîtes aux lettres contenant un message spécifique
174197 XADM : Informations sur le programme de fusion de boîtes aux lettres Microsoft Exchange (Exmerge.exe)

Propriétés

Numéro d'article: 314002 - Dernière mise à jour: mardi 28 janvier 2014 - Version: 4.4
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Exchange 2000 Server Standard Edition
  • Microsoft Exchange 2000 Enterprise Server
  • Microsoft Exchange Server 5.5 Standard Edition
Mots-clés : 
kbnosurvey kbarchive kbhowto kbdownload KB314002
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com