depuis 2000
Le fichier du formulaire TFTPxxx tente de s'exécuter au démarrage
Un fichier de la forme TFTPxxx (où xxx = nombres) tente de s'exécuter au démarrage du système et Windows ne sait pas comment faire. Qu'est-ce que c'est et que faut-il faire ?
Le programme Windows Trivial File Transfer (TFTP.EXE) est un petit client de transfert de fichiers fourni avec Windows (TFTP diffère du FTP dont on parle couramment et ne le remplace pas - voir les références ci-dessous). Lorsqu'il est exécuté, ce programme laisse parfois derrière lui un fichier de la forme TFTPxxx dans le répertoire par défaut lors de l'exécution du programme. Les fichiers sont inoffensifs ; ils sont juste laissés par le programme TFTP en cours d'exécution. Cela explique d'où vient le fichier. Maintenant, il faut revenir un peu en arrière...
Le 16 juillet 2003, Microsoft a publié un correctif pour corriger une vulnérabilité de sécurité dans une interface d'appel de procédure à distance (RPC) Windows Distributed Component Object Model (DCOM). Sans le correctif, les ordinateurs étaient vulnérables aux crackers ou aux programmes qui pouvaient pénétrer dans un ordinateur vulnérable et exécuter du code arbitraire sur cet ordinateur vulnérable. Malheureusement, la plupart des gens ne connaissaient pas ou ignoraient le patch. Une description de la vulnérabilité et des liens vers le correctif se trouvent sur le site de Microsoft...
Environ un mois plus tard, une forme modifiée du Blaster Worm a été publiée, ciblant spécifiquement cette vulnérabilité. Bien que le ver ait causé peu de dégâts à un ordinateur infecté, il a exécuté le client TFTP de Windows pour s'envoyer à d'autres ordinateurs et, dans le processus puisqu'il a utilisé le répertoire de démarrage par défaut, a amené ce programme à déposer des fichiers TFTPxxx dans le répertoire de démarrage. La prochaine fois que Windows a démarré, il a rencontré ces fichiers et ne savait pas comment les exécuter. Windows a ensuite demandé aux utilisateurs de spécifier un programme ou de rechercher sur Internet. Beaucoup ont choisi la deuxième option et se sont retrouvés sur le site FILExt, menant finalement à cette FAQ.
Que devrais tu faire?
Si vous ne l'avez pas déjà fait, téléchargez et installez IMMÉDIATEMENT le correctif Windows décrit ci-dessus. Cela arrêtera d'autres attaques entrantes.
Une fois que vous avez fait cela, vous devez vous débarrasser de ce qui a causé le problème. Pour cela, vous devriez vraiment avoir un logiciel antivirus à jour. En analysant votre système, il devrait trouver et gérer les fichiers appropriés pour vous. FILExt ne fait aucune recommandation spécifique.
Vous pouvez vous aider davantage en activant le pare-fichiers Windows.
Enfin, les fichiers TFTPxxx apparaissent dans le groupe de démarrage de Windows. Vous devriez pouvoir les voir dans le répertoire C:\Documents and Settings\All Users\Start Menu\Programs\Startup\TFTPxxxx
...ou en choisissant Démarrer | Fichiers de programme | Commencez
Supprimez ces fichiers (ils peuvent être en lecture seule et, si tel est le cas, vous devrez peut-être cliquer avec le bouton droit sur le fichier, sélectionner Propriétés et décocher l'attribut ReadOnly). Comme indiqué ci-dessus, ces fichiers ne sont pas dangereux. Ils ne font qu'encombrer le répertoire de démarrage et obligent Windows à s'arrêter pour vous poser des questions à leur sujet lors du démarrage.
Ensuite, gardez votre pare-feu et votre logiciel antivirus à jour en tout temps.
Installez les correctifs de sécurité Windows lorsqu'ils sont publiés.
Remarque ajoutée : d'autres logiciels malveillants ont commencé à apparaître et à utiliser le programme TFTP et, par conséquent, à laisser des fichiers TFTPxxxx sur les systèmes. Certains de ces fichiers peuvent contenir des signatures de logiciels malveillants et peuvent être marqués par un logiciel antivirus comme étant infectés. La solution est la même que ci-dessus : assurez-vous que vous disposez de toutes les dernières mises à jour critiques de Microsoft et supprimez les fichiers restants. Le logiciel antivirus doit supprimer le logiciel malveillant lui-même ou son site Web doit disposer d'un programme qui effectuera la suppression.