Accueil Actualités Documentation Téléchargement Vulnérabilités Phishing Hoax Virus Antivirus en ligne Contact
 
Secuser.com
 
GENERAL
Actualité du jour
Lettres d'information
Recommander ce site
Signaler un incident
Nous écrire
 
VIRUS
Alertes virus
Dossiers virus
Alertes par email
Antivirus gratuits
Antivirus en ligne
Désinfection
FAQ virus
 
PROTECTION
Alertes sécurité
Dossier firewall
Alertes par email
Firewalls gratuits
Scanner de ports
Antirootkits gratuits
Traceur IP/domaine
Windows Update
FAQ sécurité
 
PHISHING
Alertes phishing
Logiciels antiphishing
FAQ phishing
 
SPAM
Dossier spammning
Logiciels antispam
FAQ spam
 
VIE PRIVEE
Paiements en ligne
Dossier spywares
Antispywares gratuits
Vos traces sur le Net
FAQ vie privée
 
HOAX
Alertes hoax
Dossier hoax
Dossier viroax
Antihoax en ligne
FAQ hoax
 
NEWSLETTER
Recevez chaque semaine la lettre de Secuser.com :
 
 
ALERTE CONTAMINATION

Virus
Bugbear.A

Bugbear.A est un virus qui se propage par email et via les dossiers partagés. Il se présente sous la forme d'un message dont le titre et le nom du fichier joint sont aléatoires. Si le fichier joint est exécuté, le virus se copie dans le répertoire Windows avec un nom aléatoire et installe un troyen de type "keylogger" qui espionne les frappes au clavier. Bugbear est enfin capable de désactiver les antivirus et firewalls personnels les plus populaires.
 

PREVENTION :
Les utilisateurs concernés doivent mettre à jour leur antivirus. En cas de doute, les utilisateurs d'Internet Explorer 5.01 et 5.5 doivent aussi mettre à jour leur navigateur via le site de Microsoft ou le service WindowsUpdate afin de corriger la faille exploitée par le virus pour s'exécuter automatiquement. Il faut enfin supprimer les partages de ressources inutiles et protéger les autres par mot de passe afin de prévenir toute propagation du virus.

DESINFECTION :
Avant de commencer la désinfection, il est impératif de s'assurer avoir appliqué les mesures préventives ci-dessus afin d'empêcher toute réinfection de l'ordinateur par le virus. Les utilisateurs ne disposant pas d'un antivirus peuvent utiliser gratuitement l'utilitaire de désinfection FxBgBear pour rechercher et éliminer le virus. En cas de contamination d'un réseau local, les ordinateurs infectés doivent être déconnectés du réseau, et n'être reconnectés que lorsque tous les ordinateurs ont été désinfectés.

TYPE :
Ver

SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP

ALIAS :
Worm/Tanatos (CentralCommand)
Win32Bugbear (Computer Associates)
W32/Bugbear.A@mm (F-Secure)
I-Worm.Tanatos (Kaspersky)
W32/Bugbear@MM (McAfee)
W32/Bugbear.worm (Panda Software)
W32/Bugbear-A (Sophos)
W32.Bugbear@mm (Symantec)
WORM_NATOSTA.A (Trend)

TAILLE :
50.688 octets

DECOUVERTE :
30/09/2002

DESCRIPTION DETAILLEE :
Le virus se présente sous la forme d'un message dont le titre, le corps et le nom du fichier joint sont aléatoires (pré-programmés ou tirés d'un ou plusieurs fichiers choisis au hasard sur le disque dur), ce qui rend le virus impossible à identifier à la seule lecture de l'objet et de l'expéditeur d'un courrier. Quelques exemples de titres de messages :

  • Emmenez votre vie avec vous
  • Votre facture Internet
  • April 2002 - eSecurity News from McAfee.com
  • Votre jour de chance ?
  • La lettre de Chapitre.com No15
  • [ZDNetPratique] Les guides pratiques de ZDNet
  • Votre commande France Loisirs
  • INTERDIT AUX HOMMES !
  • 7 nouveau(x) copain(s) dans votre parcours
  • Bienvenue au sein du Club lesechos.fr
  • Confirmation de votre inscription
  • petit service SVP
  • 04 - Lettre d'information bimensuelle de l'APCE
  • ETONNANT, non ?
  • Conseil d'administration
  • 15 euros offerts : plus que quelques jours
  • Demande de rensignements
  • FW: [rezo-debat] Re : Prise de conscience urgente
  • RE:Question sur mon abonnement- jeux - lots
  • Stats
  • *Thanks for Downloading RealPlayer!*
  • [Sudouest.com] Newsletter - 26.08.02- Sommet de la Terre, Hourtin, Girondins...
  • Re: Tr Cadeaux
  • sexe
  • Microsoft Outlook Express 6
  • MULTIMANIA - ATTENTION : CHANGEMENT DE MAIL
  • IHT News Alerts for September 17, 2002
  • Jean-Michel Portal Photos L'homme que j'aime
  • Fw: Caisse de Prevoyance de la SNCF
  • BitDefender Newsletter No. 34
  • Informations d'Enregistrement NetVeille
  • [SECUSER ALERT] Good Luck (hoax)
  • Votre horoscope hebdomadaire
  • Une carte postale de Murielle Stracqualursi vous attend !
  • Festival de Marne >> Gagner des places
  • referencement votre site
  • Votre facture de juillet 2002 !
  • Amazon.fr : votre commande (no 402-5973777-9504XXX)
  • changement d'adresse
  • Note d'information - Changement de tarifs
  • [lettresd] Le grand maitre des IDD
  • PROJET DE CONVENTION AVEC LYON II
  • Bonjour Docteur
  • Fw: L'ile de la Tentation........
  • Magazine ViaMichelin - 1er octobre 2002
  • La selection Divento : Pop Rock Varietes-Paris
  • Tr: Tr: chocolat
  • NOUVEAU VOTRE PACK MULTI PORTABLE PROMOTION
  • Fw: Un petit test
  • rapport
  • Re: proposition de sites
  • Recevez gratuitement la brochure week-end
  • Re: coord. souris
  • Attention aux services de releve automatique de boites a lettres
  • TechNet Flash - 04 mars 2002
  • La Lettre Quotimed du 05 mars 2002
  • [dicosyno] Bienvenue parmi nous
  • Pack eXtense de Wanadoo offre exceptionnelle
  • Re: photos!
  • Blague du mercredi Umour.com (Gateau d'amour)
  • RE: coucou
  • Le droit au bonheur !
  • Quoi de neuf sur Wanadoo du 03 au 17 juin 2002 ?
  • French intellectuals in Afghanistan
  • L'album de Martin Solveig arrive Sur La Terre
  • test MO
  • Microsoft Outlook Express 5
  • MailOCine! No. 76 du 21 avril 1999
  • L'été est la...
  • Re: une naissance !
  • Get Your American Green Card
  • FW: horoscope test
  • Re: [psychomot] CHANSON ENFANTINE
  • [Lettre d'information PC Astuces #527]
  • Re: [picking] Hohner HFX. C'est grave Docteur ?
  • The Left Handers Newsletter - Nicknames
  • Fw: n concordo mas ta bem
  • hello!
  • update
  • hmm..
  • Payment notices
  • Just a reminder
  • Correction of errors
  • history screen
  • Announcement
  • various
  • Introduction
  • Interesting...
  • I need help about script!!!
  • Stats
  • Please Help...
  • Report
  • Membership Confirmation
  • Get a FREE gift!
  • Today Only
  • New Contests
  • Lost & Found
  • bad news
  • fantastic
  • click on this!
  • Market Update Report
  • empty account
  • My eBay ads
  • 25 merchants and rising
  • CALL FOR INFORMATION!
  • new reading
  • Sponsors needed
  • SCAM alert!!!
  • Warning!
  • its easy
  • free shipping!
  • Daily Email Reminder
  • Tools For Your Online Business
  • New bonus in your cash account
  • Your Gift
  • $150 FREE Bonus!
  • Your News Alert
  • Get 8 FREE issues - no risk!
  • Greets!
  • Confirmation of Recipes…

Les pièces jointes ont généralement une double extension, la dernière étant toujours EXE, SCR ou PIF. Quelques exemples de noms de fichiers joints :

  • RECUP.DOC.exe
  • CDD.DOC.scr
  • Plaquette 2001.pdf.exe
  • telecharger.com.scr
  • DARTY - Liste des produits.htm.exe
  • image.scr
  • Rapport de Stage Pierre.doc.scr
  • Tours de rôle ménage.xls.scr
  • messe.doc.exe
  • Anciens documents PowerPoint.lnk.scr
  • spider.sav.exe
  • Horaire bus 28.01.01.doc.scr
  • Aides sites Internet.htm.exe
  • ACTION.doc.scr
  • Adresses.htm.scr
  • ANCIENS DOCUMENTS EXCEL.LNK.pif
  • music.zip.scr
  • Untitled Memory Card.mem.scr
  • Pages.doc.exe
  • data.pif
  • CONTACTS1.mdb.scr
  • AISHA.mdb.exe
  • song.scr
  • minitel.vtx.pif
  • Apprentissage lecture.exe.pif
  • annuaire joelle decembre 2001.xls.pif
  • 02.mp3.scr
  • rp7-setup.exe.scr
  • Planification des ressources1.mdb.scr
  • globe1.gif.exe
  • mp3cinst.exe.scr
  • Nouveau Document Microsoft Word.doc.exe
  • Readiris.DUS.exe
  • hommage.zip.exe
  • Programme mondial pour l'évaluation des ressources en eau Défis.htm.exe
  • LOGORENA.GIF.exe
  • pioupiou.exe.scr
  • L'Assistance Utilisateur en ligne de Microsoft France.txt.scr
  • spider.sav.exe
  • Kai's Power Goo.zip.exe
  • Actes courants MG PLM euros juillet 2002.rtf.scr
  • Dosag1p.zip.pif
  • adresses-wanadoo.WAB.scr
  • littre.exe.scr
  • resume.scr
  • Exemplefp.doc.scr
  • fix_magb.com.scr
  • FixFreth.exe.scr
  • cv herve.wps.pif
  • Champs publipostage pour convention - 02 08 07.xls.pif
  • pc_@llo_installeur.exe.scr
  • VTTCLUB.EXE.pif
  • cursosafrica.eml.scr
  • scoot.doc.scr
  • wa actions Ville Cergy.xls.scr
  • Thumbs.db.pif

Le message infecté par Bugbear peut-être au format texte ou HTML. Dans le cas du format HTML, le virus utilise une vulnérabilité IFRAME des navigateurs Internet Explorer 5.01 et 5.5 (MS01-020) pour s'exécuter automatiquement à l'ouverture du message ou lors de son affichage dans la fenêtre de prévisualisation avec les logiciels Outlook ou Outlook Express.

Si le fichier joint est exécuté, le virus se copie dans le répertoire Système de Windows sous un nom aléatoire, modifie la base de registres pour s'exécuter automatiquement au prochain démarrage. Bugbear extrait ensuite les adresses emails contenues dans les fichiers INBOX (Mozilla/Netscape) ainsi que ceux comportant l'extension .ODS (Outlook Express), .MMF (Microsoft Mail File), .NCH (Outlook Express News), .MBX (Eudora), .EML (Outlook Express Mail), .TBB (Windows Office Toolbar Button) et .DBX (Outlook Express) pour s'y envoyer automatiquement. Le virus peut s'envoyer avec une fausse adresse d'expéditeur, il est donc le plus souvent impossible de prévenir la personne infectée.

En général, le virus reproduit plus ou moins partiellement un ancien message présent dans la boîte de réception de la personne infectée, y ajoute un fichier infecté et envoie le tout à l'ensemble des adresses récoltées sur l'ordinateur de sa victime en remplaçant le nom de domaine de l'adresse email de l'expéditeur initial par le nom de domaine de l'adresse email d'un autre correspondant. Les messages infectés sont souvent très réalistes et se confondent ainsi avec le courrier le plus ordinaire : il est parfois impossible de savoir s'il s'agit d'un spam, d'une erreur, d'un virus ou d'un vrai message à moins d'analyser la pièce jointe avec un antivirus à jour... ou de se faire piéger et infecter par le virus. Une indication tout de même : les messages contaminés ne comportent généralement aucun destinataire dans le champ "A:" ou alors simplement l'expression "undisclosed-recipients".

Bugbear tente ensuite de se propager via les ressources partagées en réseau Microsoft, y compris vers les imprimantes, ce qui provoque des impressions parasites et des gaspillages de papier (les imprimantes ne peuvent pas être infectées mais tentent d'imprimer le code binaire qu'elles reçoivent, le poste contaminé étant celui de la file d'attente à l'origine de l'impression parasite). Le virus tente également de désactiver les antivirus et firewalls les plus populaires, en terminant les processus correspondants :

  • _AVP32.EXE
  • _AVPCC.EXE
  • _AVPM.EXE
  • ACKWIN32.EXE
  • ANTI-TROJAN.EXE
  • APVXDWIN.EXE
  • AUTODOWN.EXE
  • AVCONSOL.EXE
  • AVE32.EXE
  • AVGCTRL.EXE
  • AVKSERV.EXE
  • AVNT.EXE
  • AVP.EXE
  • AVP32.EXE
  • AVPCC.EXE
  • AVPDOS32.EXE
  • AVPM.EXE
  • AVPTC32.EXE
  • AVPUPD.EXE
  • AVSCHED32.EXE
  • AVWIN95.EXE
  • AVWUPD32.EXE
  • BLACKD.EXE
  • BLACKICE.EXE
  • CFIADMIN.EXE
  • CFIAUDIT.EXE
  • CFINET.EXE
  • CFINET32.EXE
  • CLAW95.EXE
  • CLAW95CF.EXE
  • CLEANER.EXE
  • CLEANER3.EXE
  • DVP95.EXE
  • DVP95_0.EXE
  • ECENGINE.EXE
  • ESAFE.EXE
  • ESPWATCH.EXE
  • F-AGNT95.EXE
  • FINDVIRU.EXE
  • FPROT.EXE
  • F-PROT.EXE
  • F-PROT95.EXE
  • FP-WIN.EXE
  • FRW.EXE
  • F-STOPW.EXE
  • IAMAPP.EXE
  • IAMSERV.EXE
  • IBMASN.EXE
  • IBMAVSP.EXE
  • ICLOAD95.EXE
  • ICLOADNT.EXE
  • ICMON.EXE
  • ICSUPP95.EXE
  • ICSUPPNT.EXE
  • IFACE.EXE
  • IOMON98.EXE
  • JEDI.EXE
  • LOCKDOWN2000.EXE
  • LOOKOUT.EXE
  • LUALL.EXE
  • MOOLIVE.EXE
  • MPFTRAY.EXE
  • N32SCANW.EXE
  • NAVAPW32.EXE
  • NAVLU32.EXE
  • NAVNT.EXE
  • NAVW32.EXE
  • NAVWNT.EXE
  • NISUM.EXE
  • NMAIN.EXE
  • NORMIST.EXE
  • NUPGRADE.EXE
  • NVC95.EXE
  • OUTPOST.EXE
  • PADMIN.EXE
  • PAVCL.EXE
  • PAVSCHED.EXE
  • PAVW.EXE
  • PCCWIN98.EXE
  • PCFWALLICON.EXE
  • PERSFW.EXE
  • RAV7.EXE
  • RAV7WIN.EXE
  • RESCUE.EXE
  • SAFEWEB.EXE
  • SCAN32.EXE
  • SCAN95.EXE
  • SCANPM.EXE
  • SCRSCAN.EXE
  • SERV95.EXE
  • SMC.EXE
  • SPHINX.EXE
  • SWEEP95.EXE
  • TBSCAN.EXE
  • TCA.EXE
  • TDS2-98.EXE
  • TDS2-NT.EXE
  • VET95.EXE
  • VETTRAY.EXE
  • VSCAN40.EXE
  • VSECOMR.EXE
  • VSHWIN32.EXE
  • VSSTAT.EXE
  • WEBSCANX.EXE
  • WFINDV32.EXE
  • ZONEALARM.EXE

Bugbear comporte une backdoor qui ouvre le port 36794 de l'ordinateur afin de permettre à une personne distante de se connecter à l'ordinateur de la victime pour dérober, exécuter ou supprimer des fichiers, ainsi qu'un composant keylogger qui espionne les frappes au clavier et envoie périodiquement le résultat à plusieurs adresses emails pré-programmées.

Accessoirement, lorsque Bugbear infecte un ordinateur, il peut perturber l'affichage des caractères accentués : lorsque l'utilisateur veut entrer une lettre comportant un accent, celui-ci est doublé : ``a, ``e, ^^e, ¨¨i, etc.

INFORMATIONS COMPLEMENTAIRES :
-> FAQ : comment désinfecter le répertoire C:\RESTORE?
-> FAQ : que faire dans le cas d'un fichier "uncleanable" (non nettoyable)?
-> FAQ : comment supprimer un fichier en cours d'utilisation?
-> FAQ : qu'est-ce que le partage de fichiers et comment y mettre fin?
-> Dossier Secuser.com sur les virus
-> Abonnement gratuit à la lettre Secuser Alerte pour être prévenu de l'apparition des nouveaux hoax et virus

 
PUBLICITE
 
RECHERCHE
Recherchez un mot-clé
dans le site Secuser.com :

 
LIENS AMIS
Hoaxkiller.fr
Ne vous laissez plus piéger par les fausses informations qui envahissent le Net.
Inoculer.com
Annuaire de logiciels gratuits pour protéger votre ordinateur.
 
  Copyright © 1998-2019 Emmanuel JUD - Tous droits réservés - Secuser est une marque déposée - Charte vie privée
Outils gratuits - Guides gratuits - Livres - Glossaire - Fils d'information - Bannières et boutons