Bugbear.A est un virus qui se propage par email
et via les dossiers partagés. Il se présente sous
la forme d'un message dont le titre et le nom du fichier joint
sont aléatoires. Si le fichier joint est exécuté,
le virus se copie dans le répertoire Windows avec un
nom aléatoire et installe un troyen de type "keylogger"
qui espionne les frappes au clavier. Bugbear est enfin capable
de désactiver les antivirus et firewalls personnels les
plus populaires.
|
PREVENTION :
Les utilisateurs concernés doivent mettre
à jour leur antivirus. En cas de doute, les utilisateurs
d'Internet Explorer 5.01 et 5.5 doivent aussi mettre
à jour leur navigateur via le site
de Microsoft ou le service WindowsUpdate
afin de corriger la faille exploitée par le virus
pour s'exécuter automatiquement. Il faut enfin
supprimer
les partages de ressources inutiles et protéger
les autres par mot de passe afin de prévenir
toute propagation du virus.
DESINFECTION :
Avant de commencer la désinfection, il est impératif
de s'assurer avoir appliqué les mesures préventives
ci-dessus afin d'empêcher toute réinfection
de l'ordinateur par le virus. Les utilisateurs ne disposant
pas d'un antivirus peuvent utiliser gratuitement l'utilitaire
de désinfection FxBgBear pour rechercher
et éliminer le virus. En cas de contamination
d'un réseau local, les ordinateurs infectés doivent
être déconnectés du réseau, et n'être reconnectés que
lorsque tous les ordinateurs ont été désinfectés.
|
TYPE :
Ver
SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
ALIAS :
Worm/Tanatos (CentralCommand)
Win32Bugbear (Computer Associates)
W32/Bugbear.A@mm (F-Secure)
I-Worm.Tanatos (Kaspersky)
W32/Bugbear@MM (McAfee)
W32/Bugbear.worm (Panda Software)
W32/Bugbear-A (Sophos)
W32.Bugbear@mm (Symantec)
WORM_NATOSTA.A (Trend)
TAILLE :
50.688 octets
DECOUVERTE :
30/09/2002
DESCRIPTION DETAILLEE :
Le virus se présente sous la forme d'un message dont
le titre, le corps et le nom du fichier joint sont aléatoires
(pré-programmés ou tirés d'un ou plusieurs
fichiers choisis au hasard sur le disque dur), ce qui rend
le virus impossible à identifier à la seule
lecture de l'objet et de l'expéditeur d'un courrier.
Quelques exemples de titres de messages :
- Emmenez votre vie avec vous
- Votre facture Internet
- April 2002 - eSecurity News from McAfee.com
- Votre jour de chance ?
- La lettre de Chapitre.com No15
- [ZDNetPratique] Les guides pratiques de ZDNet
- Votre commande France Loisirs
- INTERDIT AUX HOMMES !
- 7 nouveau(x) copain(s) dans votre parcours
- Bienvenue au sein du Club lesechos.fr
- Confirmation de votre inscription
- petit service SVP
- 04 - Lettre d'information bimensuelle de l'APCE
- ETONNANT, non ?
- Conseil d'administration
- 15 euros offerts : plus que quelques jours
- Demande de rensignements
- FW: [rezo-debat] Re : Prise de conscience urgente
- RE:Question sur mon abonnement- jeux - lots
- Stats
- *Thanks for Downloading RealPlayer!*
- [Sudouest.com] Newsletter - 26.08.02- Sommet de la Terre,
Hourtin, Girondins...
- Re: Tr Cadeaux
- sexe
- Microsoft Outlook Express 6
- MULTIMANIA - ATTENTION : CHANGEMENT DE MAIL
- IHT News Alerts for September 17, 2002
- Jean-Michel Portal Photos L'homme que j'aime
- Fw: Caisse de Prevoyance de la SNCF
- BitDefender Newsletter No. 34
- Informations d'Enregistrement NetVeille
- [SECUSER ALERT] Good Luck (hoax)
- Votre horoscope hebdomadaire
- Une carte postale de Murielle Stracqualursi vous attend
!
- Festival de Marne >> Gagner des places
- referencement votre site
- Votre facture de juillet 2002 !
- Amazon.fr : votre commande (no 402-5973777-9504XXX)
- changement d'adresse
- Note d'information - Changement de tarifs
- [lettresd] Le grand maitre des IDD
- PROJET DE CONVENTION AVEC LYON II
- Bonjour Docteur
- Fw: L'ile de la Tentation........
- Magazine ViaMichelin - 1er octobre 2002
- La selection Divento : Pop Rock Varietes-Paris
- Tr: Tr: chocolat
- NOUVEAU VOTRE PACK MULTI PORTABLE PROMOTION
- Fw: Un petit test
- rapport
- Re: proposition de sites
- Recevez gratuitement la brochure week-end
- Re: coord. souris
- Attention aux services de releve automatique de boites
a lettres
- TechNet Flash - 04 mars 2002
- La Lettre Quotimed du 05 mars 2002
- [dicosyno] Bienvenue parmi nous
- Pack eXtense de Wanadoo offre exceptionnelle
- Re: photos!
- Blague du mercredi Umour.com (Gateau d'amour)
- RE: coucou
- Le droit au bonheur !
- Quoi de neuf sur Wanadoo du 03 au 17 juin 2002 ?
- French intellectuals in Afghanistan
- L'album de Martin Solveig arrive Sur La Terre
- test MO
- Microsoft Outlook Express 5
- MailOCine! No. 76 du 21 avril 1999
- L'été est la...
- Re: une naissance !
- Get Your American Green Card
- FW: horoscope test
- Re: [psychomot] CHANSON ENFANTINE
- [Lettre d'information PC Astuces #527]
- Re: [picking] Hohner HFX. C'est grave Docteur ?
- The Left Handers Newsletter - Nicknames
- Fw: n concordo mas ta bem
- hello!
- update
- hmm..
- Payment notices
- Just a reminder
- Correction of errors
- history screen
- Announcement
- various
- Introduction
- Interesting...
- I need help about script!!!
- Stats
- Please Help...
- Report
- Membership Confirmation
- Get a FREE gift!
- Today Only
- New Contests
- Lost & Found
- bad news
- fantastic
- click on this!
- Market Update Report
- empty account
- My eBay ads
- 25 merchants and rising
- CALL FOR INFORMATION!
- new reading
- Sponsors needed
- SCAM alert!!!
- Warning!
- its easy
- free shipping!
- Daily Email Reminder
- Tools For Your Online Business
- New bonus in your cash account
- Your Gift
- $150 FREE Bonus!
- Your News Alert
- Get 8 FREE issues - no risk!
- Greets!
- Confirmation of Recipes…
Les pièces jointes ont généralement
une double extension, la dernière étant toujours EXE, SCR
ou PIF. Quelques exemples de noms de fichiers joints :
- RECUP.DOC.exe
- CDD.DOC.scr
- Plaquette 2001.pdf.exe
- telecharger.com.scr
- DARTY - Liste des produits.htm.exe
- image.scr
- Rapport de Stage Pierre.doc.scr
- Tours de rôle ménage.xls.scr
- messe.doc.exe
- Anciens documents PowerPoint.lnk.scr
- spider.sav.exe
- Horaire bus 28.01.01.doc.scr
- Aides sites Internet.htm.exe
- ACTION.doc.scr
- Adresses.htm.scr
- ANCIENS DOCUMENTS EXCEL.LNK.pif
- music.zip.scr
- Untitled Memory Card.mem.scr
- Pages.doc.exe
- data.pif
- CONTACTS1.mdb.scr
- AISHA.mdb.exe
- song.scr
- minitel.vtx.pif
- Apprentissage lecture.exe.pif
- annuaire joelle decembre 2001.xls.pif
- 02.mp3.scr
- rp7-setup.exe.scr
- Planification des ressources1.mdb.scr
- globe1.gif.exe
- mp3cinst.exe.scr
- Nouveau Document Microsoft Word.doc.exe
- Readiris.DUS.exe
- hommage.zip.exe
- Programme mondial pour l'évaluation des ressources en
eau Défis.htm.exe
- LOGORENA.GIF.exe
- pioupiou.exe.scr
- L'Assistance Utilisateur en ligne de Microsoft France.txt.scr
- spider.sav.exe
- Kai's Power Goo.zip.exe
- Actes courants MG PLM euros juillet 2002.rtf.scr
- Dosag1p.zip.pif
- adresses-wanadoo.WAB.scr
- littre.exe.scr
- resume.scr
- Exemplefp.doc.scr
- fix_magb.com.scr
- FixFreth.exe.scr
- cv herve.wps.pif
- Champs publipostage pour convention - 02 08 07.xls.pif
- pc_@llo_installeur.exe.scr
- VTTCLUB.EXE.pif
- cursosafrica.eml.scr
- scoot.doc.scr
- wa actions Ville Cergy.xls.scr
- Thumbs.db.pif
Le message infecté par Bugbear peut-être au
format texte ou HTML. Dans le cas du format HTML, le virus
utilise une vulnérabilité IFRAME des navigateurs
Internet Explorer 5.01 et 5.5 (MS01-020)
pour s'exécuter automatiquement à l'ouverture
du message ou lors de son affichage dans la fenêtre
de prévisualisation avec les logiciels Outlook ou Outlook
Express.
Si le fichier joint est exécuté, le virus se
copie dans le répertoire Système de Windows
sous un nom aléatoire, modifie la base de registres
pour s'exécuter automatiquement au prochain démarrage.
Bugbear extrait ensuite les adresses emails contenues dans
les fichiers INBOX (Mozilla/Netscape) ainsi que ceux comportant
l'extension .ODS (Outlook Express), .MMF (Microsoft Mail File),
.NCH (Outlook Express News), .MBX (Eudora), .EML (Outlook
Express Mail), .TBB (Windows Office Toolbar Button) et .DBX
(Outlook Express) pour s'y envoyer automatiquement. Le
virus peut s'envoyer avec une fausse adresse d'expéditeur,
il est donc le plus souvent impossible de prévenir
la personne infectée.
En général, le virus reproduit plus ou moins
partiellement un ancien message présent dans la boîte
de réception de la personne infectée, y ajoute
un fichier infecté et envoie le tout à l'ensemble
des adresses récoltées sur l'ordinateur de sa
victime en remplaçant le nom de domaine de l'adresse
email de l'expéditeur initial par le nom de domaine
de l'adresse email d'un autre correspondant. Les messages
infectés sont souvent très réalistes
et se confondent ainsi avec le courrier le plus ordinaire
: il est parfois impossible de savoir s'il s'agit d'un spam,
d'une erreur, d'un virus ou d'un vrai message à moins d'analyser
la pièce jointe avec un antivirus à jour... ou de se
faire piéger et infecter par le virus. Une indication
tout de même : les messages contaminés ne comportent
généralement aucun destinataire dans le champ
"A:" ou alors simplement l'expression "undisclosed-recipients".
Bugbear tente ensuite de se propager via les ressources partagées
en réseau Microsoft, y compris vers les imprimantes,
ce qui provoque des impressions parasites et des gaspillages
de papier (les imprimantes ne peuvent pas être infectées
mais tentent d'imprimer le code binaire qu'elles reçoivent,
le poste contaminé étant celui de la file d'attente
à l'origine de l'impression parasite). Le virus tente
également de désactiver les antivirus et firewalls
les plus populaires, en terminant les processus correspondants
:
- _AVP32.EXE
- _AVPCC.EXE
- _AVPM.EXE
- ACKWIN32.EXE
- ANTI-TROJAN.EXE
- APVXDWIN.EXE
- AUTODOWN.EXE
- AVCONSOL.EXE
- AVE32.EXE
- AVGCTRL.EXE
- AVKSERV.EXE
- AVNT.EXE
- AVP.EXE
- AVP32.EXE
- AVPCC.EXE
- AVPDOS32.EXE
- AVPM.EXE
- AVPTC32.EXE
- AVPUPD.EXE
- AVSCHED32.EXE
- AVWIN95.EXE
- AVWUPD32.EXE
- BLACKD.EXE
- BLACKICE.EXE
- CFIADMIN.EXE
- CFIAUDIT.EXE
- CFINET.EXE
- CFINET32.EXE
- CLAW95.EXE
- CLAW95CF.EXE
- CLEANER.EXE
- CLEANER3.EXE
- DVP95.EXE
- DVP95_0.EXE
- ECENGINE.EXE
- ESAFE.EXE
- ESPWATCH.EXE
- F-AGNT95.EXE
- FINDVIRU.EXE
- FPROT.EXE
- F-PROT.EXE
- F-PROT95.EXE
- FP-WIN.EXE
- FRW.EXE
- F-STOPW.EXE
- IAMAPP.EXE
- IAMSERV.EXE
- IBMASN.EXE
- IBMAVSP.EXE
- ICLOAD95.EXE
- ICLOADNT.EXE
- ICMON.EXE
- ICSUPP95.EXE
- ICSUPPNT.EXE
- IFACE.EXE
- IOMON98.EXE
- JEDI.EXE
- LOCKDOWN2000.EXE
- LOOKOUT.EXE
- LUALL.EXE
- MOOLIVE.EXE
- MPFTRAY.EXE
- N32SCANW.EXE
- NAVAPW32.EXE
- NAVLU32.EXE
- NAVNT.EXE
- NAVW32.EXE
- NAVWNT.EXE
- NISUM.EXE
- NMAIN.EXE
- NORMIST.EXE
- NUPGRADE.EXE
- NVC95.EXE
- OUTPOST.EXE
- PADMIN.EXE
- PAVCL.EXE
- PAVSCHED.EXE
- PAVW.EXE
- PCCWIN98.EXE
- PCFWALLICON.EXE
- PERSFW.EXE
- RAV7.EXE
- RAV7WIN.EXE
- RESCUE.EXE
- SAFEWEB.EXE
- SCAN32.EXE
- SCAN95.EXE
- SCANPM.EXE
- SCRSCAN.EXE
- SERV95.EXE
- SMC.EXE
- SPHINX.EXE
- SWEEP95.EXE
- TBSCAN.EXE
- TCA.EXE
- TDS2-98.EXE
- TDS2-NT.EXE
- VET95.EXE
- VETTRAY.EXE
- VSCAN40.EXE
- VSECOMR.EXE
- VSHWIN32.EXE
- VSSTAT.EXE
- WEBSCANX.EXE
- WFINDV32.EXE
- ZONEALARM.EXE
Bugbear comporte une backdoor qui ouvre le port 36794 de
l'ordinateur afin de permettre à une personne distante
de se connecter à l'ordinateur de la victime pour dérober,
exécuter ou supprimer des fichiers, ainsi qu'un composant
keylogger qui espionne les frappes au clavier et envoie périodiquement
le résultat à plusieurs adresses emails pré-programmées.
Accessoirement, lorsque Bugbear infecte un ordinateur, il
peut perturber l'affichage des caractères accentués
: lorsque l'utilisateur veut entrer une lettre comportant
un accent, celui-ci est doublé : ``a, ``e, ^^e, ¨¨i,
etc.
INFORMATIONS COMPLEMENTAIRES :
-> FAQ : comment
désinfecter le répertoire C:\RESTORE?
-> FAQ
: que faire dans le cas d'un fichier "uncleanable"
(non nettoyable)?
-> FAQ
: comment supprimer un fichier en cours d'utilisation?
-> FAQ
: qu'est-ce que le partage de fichiers et comment y mettre
fin?
-> Dossier
Secuser.com sur les virus
-> Abonnement gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
|
