1. /
  2. Security Response/
  3. Trojan.Tooso.B
  4. Trojan.Tooso.B
  • Ajouter

Trojan.Tooso.B

Niveau de risque2 : Faible

Découvert :
28 Février 2005
Mis à jour :
13 Février 2007 12:34:13 PM
Type :
Trojan Horse
Etendue de l'infection :
34 304 octets
Systèmes affectés :
Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP

Trojan.Tooso.B est un cheval de Troie qui tente de désactiver les logiciels liés à la sécurité en terminant des processus, en arrêtant des services et en supprimant des entrées de registre et des fichiers.

Il a été signalé que Trojan.Tooso.B est envoyé par courrier électronique par des copies de W32.Beagle.BG@mm et W32.Beagle.BH@mm.



Comment réinstaller les services
Il est possible également que vous souhaitiez réactiver des services arrêtés par la menace. Dans la fenêtre Services (dans le Panneau de configuration pour Windows 9x et dans le Panneau de configuration\Outils d'administration pour Windows 2000 et Windows XP), trouvez les services qui ont été désactivés, cliquez deux fois sur ces services et rétablissez la valeur Type de démarrage dans le menu déroulant.


Comment supprimer des entrées du fichier Hosts
Si cette menace a modifié le fichier Hosts de Windows, il existe deux manières de supprimer ces entrées :
  • Installer et exécuter la version actuelle de LiveUpdate. Ceci supprimera seulement les entrées qui se rapportent à des domaines de Symantec.
  • Modifier manuellement le fichier Hosts et supprimer toutes les entrées que le ver a ajoutées.

Pour exécuter la version actuelle de LiveUpdate
  1. Cliquez sur télécharger LiveUpdate.

    Remarque : Si vous ne lisez pas cette page Web sur l'ordinateur qui obtient la notification d'erreur, l'adresse pour télécharger le fichier est :

    ftp://ftp.symantec.com/public/francais/liveupdate/lusetup.exe

    Au besoin, vous pouvez taper cette adresse dans la barre d'adresses de l'ordinateur rencontrant le problème. Les modifications apportées au fichier Hosts ne vous empêcheront pas de vous rendre sur ce site.

  2. Enregistrez le fichier sur le bureau Windows.
  3. Cliquez deux fois sur l'icône lusetup.exe présente sur le bureau afin d'installer LiveUpdate.
  4. Exécutez LiveUpdate.
  5. Le message "LU1860: LiveUpdate has detected a potential security compromise on your computer"? s'est-il affiché ?
    • Si c'est le cas, laissez LiveUpdate 'Supprimer ces entrées du fichier hosts' (Recommandé). LiveUpdate devrait pouvoir s'exécuter.
    • Si ce n'est pas le cas, ce n'était pas la cause du problème. Revenez à la section de suppression.


Pour modifier manuellement le fichier Hosts et supprimer toutes les entrées que le ver a ajoutées

Remarque : L'emplacement du fichier Hosts peut changer et quelques ordinateurs peuvent ne pas avoir ce fichier. Par exemple, si le fichier existe sous Windows 98, il sera généralement dans C:\Windows ; et il se trouve dans le dossier C:\WINNT\system32\drivers\etc sous Windows 2000. Il peut également y avoir des copies multiples de ce fichier à divers emplacements.

Suivez les instructions pour votre système d'exploitation :
  • Windows 95/98/Me/NT/2000
    1. Cliquez sur Démarrer > Trouver ou Rechercher puis cliquez sur Fichiers ou dossiers.
    2. Assurez-vous que (C:) soit bien sélectionné dans la boîte de dialogue "Rechercher dans" et que l'option Inclure les sous-dossiers ait également été choisie.
    3. Dans l'un des champs de recherche des fichiers, tapez :

      hosts

    4. Cliquez sur Trouver maintenant or Rechercher maintenant.
    5. Pour chaque fichier Hosts que vous trouvez, cliquez avec le bouton droit de la souris sur le fichier puis cliquez sur Ouvrir avec.
    6. Désélectionnez l'option Toujours utiliser ce programme pour ouvrir ce type de fichier.
    7. Parcourez la liste de programmes et cliquez deux fois sur Bloc-notes.
    8. Quand le fichier s'ouvre, supprimez toutes les entrées de l'étape 11 de la section Détails techniques.
    9. Fermez le Bloc-notes et enregistrez vos changements lorsque vous y êtes invité.

  • Windows XP
    1. Cliquez sur Démarrer > Rechercher.
    2. Cliquez sur Tous les fichiers et tous les dossiers.
    3. Dans le champ "Une partie ou l'ensemble du nom de fichier", tapez :

      hosts

    4. Assurez-vous que (C:) ou Disques durs locaux est bien sélectionné dans la boîte de dialogue Rechercher dans.
    5. Cliquez sur Options avancées.
    6. Sélectionnez Rechercher dans les dossiers système.
    7. Sélectionnez Rechercher dans les sous-dossiers.
    8. Cliquez sur Rechercher.
    9. Cliquez sur Trouver maintenant ou Rechercher maintenant.
    10. Pour chaque fichier Hosts que vous trouvez, cliquez avec le bouton droit de la souris sur le fichier puis cliquez sur Ouvrir avec.
    11. Désélectionnez l'option Toujours utiliser ce programme pour ouvrir ce type de fichier.
    12. Parcourez la liste de programmes et cliquez deux fois sur Bloc-notes.
    13. Quand le fichier s'ouvre, supprimez toutes les entrées de l'étape 11 de la section Détails techniques.
    14. Fermez le Bloc-notes et enregistrez vos changements lorsque vous y êtes invité.


Dates de la protection antivirus

  • Version initiale des définitions Rapid Release1 Mars 2005
  • Dernière version des définitions Rapid Release28 Septembre 2010 révision 054
  • Version initiale des définitions Daily Certified1 Mars 2005
  • Dernière version des définitions Daily Certified28 Septembre 2010 révision 036
  • Date de la version initiale des définitions Weekly Certified1 Mars 2005
Cliquez ici si vous souhaitez une description plus détaillée des définitions de virus Rapid Release et Daily Certified.

Evaluation de la menace

Virulence

  • Niveau de virulence :Medium
  • Nombre d'infections :0 - 49
  • Nombre de sites :More than 10
  • Répartition géographique :Low
  • Contrôle de la menace :Easy
  • Suppression :Moderate

Dommages

  • Niveau de dommages :Medium
  • Elément déclencheur :Ne s'applique pas
  • Résultat d'activation :Télécharge et exécute du code arbitraire.
  • Envoi de courrier électronique en masse :Ne s'applique pas
  • Supprime des fichiers :Ne s'applique pas
  • Modifie des fichiers :Modifie le fichier hosts.
  • Diffuse des informations confidentielles :Ne s'applique pas
  • Dégrade les performances :Tente de télécharger des fichiers à partir de divers domaines affectant ainsi les performances système et réseau.
  • Cause l'instabilité du système :Ne s'applique pas
  • Compromet les paramètres de sécurité :Termine les processus liés à la sécurité et empêche l'accès aux sites web liés à la sécurité.

Distribution

  • Niveau de distribution :Medium
  • Objet du courrier électronique :Ne s'applique pas
  • Nom de la pièce jointe :Ne s'applique pas
  • Taille de la pièce jointe :Ne s'applique pas
  • Ports :Ne s'applique pas
  • Lecteurs partagés :Ne s'applique pas
  • Cible d'infection :Ne s'applique pas
  • Date de la pièce jointe :Ne s'applique pas
Rédigé par :Asuka Yamamoto