Accueil Actualités Documentation Téléchargement Vulnérabilités Phishing Hoax Virus Antivirus en ligne Contact
 
Secuser.com
 
GENERAL
Actualité du jour
Lettres d'information
Recommander ce site
Signaler un incident
Nous écrire
 
VIRUS
Alertes virus
Dossiers virus
Alertes par email
Antivirus gratuits
Antivirus en ligne
Désinfection
FAQ virus
 
PROTECTION
Alertes sécurité
Dossier firewall
Alertes par email
Firewalls gratuits
Scanner de ports
Antirootkits gratuits
Traceur IP/domaine
Windows Update
FAQ sécurité
 
PHISHING
Alertes phishing
Logiciels antiphishing
FAQ phishing
 
SPAM
Dossier spammning
Logiciels antispam
FAQ spam
 
VIE PRIVEE
Paiements en ligne
Dossier spywares
Antispywares gratuits
Vos traces sur le Net
FAQ vie privée
 
HOAX
Alertes hoax
Dossier hoax
Dossier viroax
Antihoax en ligne
FAQ hoax
 
NEWSLETTER
Recevez chaque semaine la lettre de Secuser.com :
 
 
ALERTE CONTAMINATION

Virus
Badtrans.B (= BadtransII)

Badtrans.B est une variante du virus Badtrans. Ce virus de mail résident se présente sous la forme d'un message vide accompagné d'un fichier joint souvent non visible dont le nom est composé aléatoirement à partir d'un nom parmi FUN, HUMOR, DOCS, S3MSONG, Sorry_about_yesterday, ME_NUDE, CARD, SETUP, SEARCHURL, YOU_ARE_FAT!, HAMSTER, NEWS_DOC, New_Napster_Site, README, IMAGES, PICS puis une extension .DOC., .MP3. ou .ZIP., puis une seconde extension .pif ou .scr (visible uniquement si Windows est configuré pour afficher toutes les extensions), donc par exemple NEWS_DOC.MP3.scr. Le sujet du message est une réponse à un mail précédemment envoyé au correspondant infecté, afin de ne pas éveiller la méfiance du destinataire ("Re:" ou "Re: [titre du mail]").

Le virus s'exécute automatiquement à l'ouverture du mail ou lors de son affichage dans la fenêtre de prévisualisation d'Outlook, si le navigateur est une version d'Internet Explorer 5.01 ou 5.5 non patchée contre une vulnérabilité MIME connue. Même lorsque le patch a été appliqué, l'ouverture ou la prévisualisation du message peut déclencher automatiquement une fenêtre invitant à ouvrir ou enregistrer le fichier joint.

Si le fichier joint est exécuté, le virus se copie dans le répertoire System de Windows sous le nom Kernel32.exe, modifie la base de registre pour s'exécuter automatique au prochain démarrage, puis s'envoie automatiquement en répondant à tous les messages non lus de la boîte de réception ainsi qu'aux adresses emails trouvées dans les pages HTML et ASP du répertoire Mes Documents et du cache internet en ajoutant un caractère "_" à l'adresse de l'expéditeur afin de faire échouer les mails envoyés en retour pour le prévenir (il faut donc corriger l'adresse après avoir pressé le bouton "Répondre à"). Le virus continue ensuite à s'envoyer à chaque nouveau correspondant envoyant un mail à la personne infectée ou à laquelle cette personne écrit. Badtrans.B installe enfin dans le répertoire System la backdoor PSW Hooker sous le nom KDLL.DLL : cette dernière enregistre les frappes au clavier lorsqu'une fenêtre Windows contient un mot-clé sensible ("log", "pass", "rem", "con", "ter", "net"), stocke les informations dans un fichier cp_25389.nls, puis les envoie périodiquement à plusieurs adresses emails.

En cas d'infection, comblez la faille exploitée par le virus pour s'exécuter automatiquement en appliquant ce correctif (IE 5.01 et 5.5), exécutez l'utilitaire FIX_BADTRANSB (cliquez sur le bouton "Start" pour commencer), redémarrez l'ordinateur, exécutez une nouvelle fois l'utilitaire pour être certain de l'absence du virus, puis changez les mots de passe concernés au cas où des données sensibles auraient quitté votre ordinateur. Désinfection manuelle : démarrez en mode sans échec (Windows 95/98/Me) ou terminez le processus Kernel32.exe via le gestionnaire des tâches (Windows NT/2000/XP), supprimez les fichiers CP_25389.NLS, Kernel32.exe et Kdll.dll, supprimez l'entrée HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ RunOnce\kernel32 = “kernel32.exe” dans la base de registres (uniquement si vous savez comment procéder), puis redémarrer l'ordinateur et enfin changez les mots de passe concernés.

Le site Windows Update pour mettre à jour Internet Explorer (ou sinon le Security Bulletin MS01-020)

Télécharger l'utilitaire FIX_BADTRANSB (Symantec) pour éliminer le virus

Prévenir un correspondant que son ordinateur est contaminé sans dévoiler votre adresse email au virus présent sur son poste

Dossier Secuser.com sur les virus

Abonnement gratuit à la lettre Secuser Alerte pour être prévenu de l'apparition des nouveaux hoax et virus

Badtrans.B : le virus qui 'écoute' vos mots de passe
27/11 - VNUNet (lire l'article)

 
PUBLICITE
 
RECHERCHE
Recherchez un mot-clé
dans le site Secuser.com :

 
LIENS AMIS
Hoaxkiller.fr
Ne vous laissez plus piéger par les fausses informations qui envahissent le Net.
Inoculer.com
Annuaire de logiciels gratuits pour protéger votre ordinateur.
 
  Copyright © 1998-2016 Emmanuel JUD - Tous droits réservés - Secuser est une marque déposée - Charte vie privée
Outils gratuits - Guides gratuits - Livres - Glossaire - Fils d'information - Bannières et boutons