Badtrans.B
est une variante du virus Badtrans. Ce virus de mail résident
se présente sous la forme d'un message vide accompagné
d'un fichier joint souvent non visible dont le nom est composé
aléatoirement à partir d'un nom parmi FUN,
HUMOR, DOCS, S3MSONG, Sorry_about_yesterday, ME_NUDE, CARD,
SETUP, SEARCHURL, YOU_ARE_FAT!, HAMSTER, NEWS_DOC, New_Napster_Site,
README, IMAGES, PICS puis une extension .DOC., .MP3. ou .ZIP.,
puis une seconde extension .pif ou .scr (visible uniquement
si Windows est configuré pour afficher toutes les extensions),
donc par exemple NEWS_DOC.MP3.scr. Le sujet du message est
une réponse à un mail précédemment
envoyé au correspondant infecté, afin de ne
pas éveiller la méfiance du destinataire ("Re:"
ou "Re: [titre du mail]").
Le virus
s'exécute automatiquement à l'ouverture du mail
ou lors de son affichage dans la fenêtre de prévisualisation
d'Outlook, si le navigateur est une version d'Internet Explorer
5.01 ou 5.5 non patchée contre une vulnérabilité
MIME connue. Même lorsque le patch a été
appliqué, l'ouverture ou la prévisualisation
du message peut déclencher automatiquement une fenêtre
invitant à ouvrir ou enregistrer le fichier joint.
Si le
fichier joint est exécuté, le virus se copie dans le répertoire
System de Windows sous le nom Kernel32.exe, modifie la base
de registre pour s'exécuter automatique au prochain
démarrage, puis s'envoie automatiquement en répondant
à tous les messages non lus de la boîte de réception
ainsi qu'aux adresses emails trouvées dans les pages
HTML et ASP du répertoire Mes Documents et du cache
internet en
ajoutant un caractère "_" à l'adresse de l'expéditeur afin
de faire échouer les mails envoyés en retour pour le
prévenir (il faut donc corriger l'adresse après avoir
pressé le bouton "Répondre à").
Le virus continue ensuite à s'envoyer à chaque
nouveau correspondant envoyant un mail à la personne
infectée ou à laquelle cette personne écrit.
Badtrans.B installe enfin dans le répertoire System
la backdoor PSW Hooker sous le nom KDLL.DLL : cette dernière
enregistre les frappes au clavier lorsqu'une fenêtre
Windows contient un mot-clé sensible ("log",
"pass", "rem", "con", "ter",
"net"), stocke les informations dans un fichier
cp_25389.nls, puis les envoie périodiquement à
plusieurs adresses emails.
En cas d'infection,
comblez la faille exploitée par le virus pour s'exécuter
automatiquement en appliquant ce
correctif (IE 5.01 et 5.5), exécutez l'utilitaire FIX_BADTRANSB
(cliquez sur le bouton "Start" pour commencer), redémarrez
l'ordinateur, exécutez une nouvelle fois l'utilitaire pour
être certain de l'absence du virus, puis changez les mots de
passe concernés au cas où des données sensibles
auraient quitté votre ordinateur. Désinfection manuelle
: démarrez en mode
sans échec (Windows 95/98/Me) ou terminez le processus
Kernel32.exe via le gestionnaire des tâches (Windows NT/2000/XP),
supprimez les fichiers CP_25389.NLS, Kernel32.exe et Kdll.dll, supprimez
l'entrée HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\
CurrentVersion\ RunOnce\kernel32 = “kernel32.exe” dans la base de
registres (uniquement si vous savez comment procéder), puis
redémarrer l'ordinateur et enfin changez les mots de passe
concernés.
Le site
Windows Update pour mettre à jour Internet Explorer (ou
sinon le Security
Bulletin MS01-020)
Télécharger
l'utilitaire FIX_BADTRANSB (Symantec) pour éliminer
le virus
Prévenir
un correspondant que son ordinateur est contaminé
sans dévoiler votre adresse email au virus présent
sur son poste
Dossier
Secuser.com sur les virus
Abonnement gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
Badtrans.B
: le virus qui 'écoute' vos mots de passe
27/11 - VNUNet (lire
l'article)
|