Bugbear.B est un virus qui se propage par email
et via les dossiers partagés. Il se présente sous
la forme d'un message dont le titre et le nom du fichier joint
sont aléatoires. Si le fichier joint est exécuté,
le virus s'envoie à un maximum d'adresses email extraites
de divers fichiers du disque, désactive les antivirus
et firewalls personnels les plus populaires, installe un troyen
de type "keylogger" qui espionne les frappes au clavier
et infecte un grand nombre de fichiers exécutables présents
sur l'ordinateur contaminé.
PREVENTION :
Les utilisateurs concernés doivent mettre
à jour leur antivirus. En cas de doute, les utilisateurs
d'Internet Explorer 5.01 et 5.5 doivent aussi mettre
à jour leur navigateur via le site
de Microsoft ou le service WindowsUpdate
afin de corriger la faille exploitée par le virus
pour s'exécuter automatiquement. Il faut enfin
supprimer
les partages de ressources inutiles et protéger
les autres par mot de passe afin de prévenir
toute propagation du virus.
DESINFECTION :
Avant de commencer la désinfection, il est impératif
de s'assurer avoir appliqué les mesures préventives
ci-dessus afin d'empêcher toute réinfection
de l'ordinateur par le virus. Les utilisateurs ne disposant
pas d'un antivirus peuvent utiliser gratuitement l'utilitaire
de désinfection FixBugb pour rechercher et
éliminer le virus. En cas de contamination d'un
réseau local, les ordinateurs infectés doivent être
déconnectés du réseau, et n'être reconnectés que lorsque
tous les ordinateurs ont été désinfectés.
|
TYPE :
Ver + infecteur de fichiers
SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
ALIAS :
Win32.Bugbear.B (Computer Associates)
W32/Bugbear.B@mm (F-Secure)
I-Worm.Tanatos.B (Kaspersky)
W32/Bugbear.b@MM (McAfee)
W32/Bugbear-B (Sophos)
W32.Bugbear.B@mm (Symantec)
PE_BUGBEAR.B (Trend Micro)
W32.Kijmo
W32.Shamur
W32/Bugbear.b!data
W32/Bugbear.b.dam
W32/Bugbear.b.dll
PWSteal.Hooker.Trojan
TAILLE :
72.192 octets
DECOUVERTE :
04/06/2003
DESCRIPTION DETAILLEE :
Bugbear.B est une variante polymorphique du virus Bugbear.A
qui présente les mêmes caractéristiques
avec en plus la capacité d'infecter certains fichiers
exécutables. Le virus se présente sous la forme
d'un message dont le titre, le corps et le nom du fichier
joint sont aléatoires (pré-programmés
ou tirés d'un ou plusieurs fichiers choisis au hasard
sur le disque dur), ce qui rend le virus impossible à
identifier à la seule lecture de l'objet et de l'expéditeur
d'un courrier. Quelques exemples de titres de messages :
- Your Gift
- Emploi du temps
- profession de foi
- IBM Weekly Update-Canada
- Fw: Note d'infos du site TPE-PME.COM
- Voici une carte virtuelle pour vous
- TR: C'est truculent!...
- Re: cela va tu finir par se rendre!!!
- loto
- Fwd: TR : TR : Joke
- Alcool et grossesse
- DOUAL' AIR
- Fwd: La france que de chouettes noms . . . . Un peut de
=
- La revue de presse d'Info-Decideur.com du mercredi 28
mai 2003
- FW: CASS 00-06
- Microsoft Outlook Express 6
- [gti] Explication rapide sur les ACL
- Samedi 18 mai
- we thank you for your quick reply 8894iiytc
- Fw: EXPORT MANAGER
- Renseignement sur
- Re: M/V ARMELLE blk wheat Rouen /Algeria
- boulot
- M.V. "ARMELLE" (02/3535) - C/P D.D. 28.11.02 - WHEAT FROM
ROUEN TO
- Information
- Re: Request fax copy of Hawb
- Get 8 FREE issues - no risk!
- Hi!
- Your News Alert
- $150 FREE Bonus!
- Re:
- Your Gift
- New bonus in your cash account
- Tools For Your Online Business
- Daily Email Reminder
- News
- free shipping!
- its easy
- Warning!
- SCAM alert!!!
- Sponsors needed
- new reading
- CALL FOR INFORMATION!
- 25 merchants and rising
- Cows
- My eBay ads
- empty account
- Market Update Report
- click on this!
- fantastic
- wow!
- bad news
- Lost & Found
- New Contests
- Today Only
- Get a FREE gift!
- Membership Confirmation
- Report
- Please Help...
- Stats
- I need help about script!!!
- Interesting...
- Introduction
- various
- Announcement
- history screen
- Correction of errors
- Just a reminder
- Payment notices
- hmm..
- update
- Hello!
Les pièces jointes ont généralement
une double extension, la dernière étant toujours EXE, SCR
ou PIF. Quelques exemples de noms de fichiers joints :
- antivirus_install.exe.scr
- sauvegarde5janvier03.pxj.scr
- convoc_AG240902.doc.pif
- COMPARATIF IMPRIMANTES.xls.exe
- Anciens documents Excel.lnk.scr
- BD.doc.pif
- Petit Larousse 2000.lnk.pif
- solution de jeux.lnk.scr
- imprimantes.kv3.exe
- advpack.exe.pif
- Mes documents.lnk.scr
- 18 mai 03 10h01 Petit Dijeuner Traditionnel ` l'Apo Logis.JPG.pif
- Classeur1.xls.exe
- 0106515.dxf.exe
- AGENT.lpd.scr
- spider.sav.exe
- ATTESTATION D.doc.pif
- INFORMAGCO.eml.pif
- NOTE.DOC.pif
- Setup.scr
- vie juive.JPG.scr
- Page ENTJTE.doc.scr
- mona lisa.jpg.exe
- J.doc.pif
- cabas.jpg.pif
- attach01.tif.scr
Le message infecté par Bugbear peut-être au
format texte ou HTML. Dans le cas du format HTML, le virus
utilise une vulnérabilité IFRAME des navigateurs
Internet Explorer 5.01 et 5.5 (MS01-020)
pour s'exécuter automatiquement à l'ouverture
du message ou lors de son affichage dans la fenêtre
de prévisualisation avec les logiciels Outlook ou Outlook
Express.
Si le fichier joint est exécuté, le virus se
copie dans le répertoire Système de Windows
sous un nom aléatoire, modifie la base de registres
pour s'exécuter automatiquement au prochain démarrage.
Bugbear.B extrait ensuite les adresses emails contenues dans
les fichiers INBOX (Mozilla/Netscape) ainsi que ceux comportant
l'extension .ODS (Outlook Express), .MMF (Microsoft Mail File),
.NCH (Outlook Express News), .MBX (Eudora), .EML (Outlook
Express Mail), .TBB (Windows Office Toolbar Button) et .DBX
(Outlook Express) pour s'y envoyer automatiquement. Le virus
peut s'envoyer avec une fausse adresse d'expéditeur,
il est donc le plus souvent impossible de prévenir
la personne infectée. Les messages contaminés
ne comportent généralement aucun destinataire
dans le champ "A:" ou alors simplement l'expression
"undisclosed-recipients".
Bugbear.B tente ensuite de se propager via les ressources
partagées en réseau Microsoft, y compris vers
les imprimantes, ce qui provoque des impressions parasites
et des gaspillages de papier (les imprimantes ne peuvent pas
être infectées mais tentent d'imprimer le code
binaire qu'elles reçoivent, le poste contaminé
étant celui de la file d'attente à l'origine
de l'impression parasite). Le virus tente également
de désactiver les antivirus et firewalls les plus populaires,
en terminant les processus correspondants :
- _AVP32.EXE
- _AVPCC.EXE
- _AVPM.EXE
- ACKWIN32.EXE
- ANTI-TROJAN.EXE
- APVXDWIN.EXE
- AUTODOWN.EXE
- AVCONSOL.EXE
- AVE32.EXE
- AVGCTRL.EXE
- AVKSERV.EXE
- AVNT.EXE
- AVP.EXE
- AVP32.EXE
- AVPCC.EXE
- AVPDOS32.EXE
- AVPM.EXE
- AVPTC32.EXE
- AVPUPD.EXE
- AVSCHED32.EXE
- AVWIN95.EXE
- AVWUPD32.EXE
- BLACKD.EXE
- BLACKICE.EXE
- CFIADMIN.EXE
- CFIAUDIT.EXE
- CFINET.EXE
- CFINET32.EXE
- CLAW95.EXE
- CLAW95CF.EXE
- CLEANER.EXE
- CLEANER3.EXE
- DVP95.EXE
- DVP95_0.EXE
- ECENGINE.EXE
- ESAFE.EXE
- ESPWATCH.EXE
- F-AGNT95.EXE
- FINDVIRU.EXE
- FPROT.EXE
- F-PROT.EXE
- F-PROT95.EXE
- FP-WIN.EXE
- FRW.EXE
- F-STOPW.EXE
- IAMAPP.EXE
- IAMSERV.EXE
- IBMASN.EXE
- IBMAVSP.EXE
- ICLOAD95.EXE
- ICLOADNT.EXE
- ICMON.EXE
- ICSUPP95.EXE
- ICSUPPNT.EXE
- IFACE.EXE
- IOMON98.EXE
- JEDI.EXE
- LOCKDOWN2000.EXE
- LOOKOUT.EXE
- LUALL.EXE
- MOOLIVE.EXE
- MPFTRAY.EXE
- N32SCANW.EXE
- NAVAPW32.EXE
- NAVLU32.EXE
- NAVNT.EXE
- NAVW32.EXE
- NAVWNT.EXE
- NISUM.EXE
- NMAIN.EXE
- NORMIST.EXE
- NUPGRADE.EXE
- NVC95.EXE
- OUTPOST.EXE
- PADMIN.EXE
- PAVCL.EXE
- PAVSCHED.EXE
- PAVW.EXE
- PCCWIN98.EXE
- PCFWALLICON.EXE
- PERSFW.EXE
- RAV7.EXE
- RAV7WIN.EXE
- RESCUE.EXE
- SAFEWEB.EXE
- SCAN32.EXE
- SCAN95.EXE
- SCANPM.EXE
- SCRSCAN.EXE
- SERV95.EXE
- SMC.EXE
- SPHINX.EXE
- SWEEP95.EXE
- TBSCAN.EXE
- TCA.EXE
- TDS2-98.EXE
- TDS2-NT.EXE
- VET95.EXE
- VETTRAY.EXE
- VSCAN40.EXE
- VSECOMR.EXE
- VSHWIN32.EXE
- VSSTAT.EXE
- WEBSCANX.EXE
- WFINDV32.EXE
- ZONEALARM.EXE
Bugbear.B comporte une backdoor qui ouvre le port 1080 de
l'ordinateur afin de permettre à une personne distante
de se connecter à l'ordinateur de la victime pour dérober,
exécuter ou supprimer des fichiers, ainsi qu'un composant
keylogger PWSteal.Hooker.Trojan qui espionne les frappes au
clavier et envoie périodiquement le résultat
à plusieurs adresses emails. Le virus tente enfin d'infecter
les fichiers exécutables suivants :
- %windows%\scandskw.exe
- %windows%\regedit.exe
- %windows%\mplayer.exe
- %windows%\hh.exe
- %windows%\notepad.exe
- %windows%\winhelp.exe
- %ProgramFilesDir%\Internet Explorer\iexplore.exe
- %ProgramFilesDir%\adobe\acrobat 5.0\reader\acrord32.exe
- %ProgramFilesDir%\WinRAR\WinRAR.exe
- %ProgramFilesDir%\Windows Media Player\mplayer2.exe
- %ProgramFilesDir%\Real\RealPlayer\realplay.exe
- %ProgramFilesDir%\Outlook Express\msimn.exe
- %ProgramFilesDir%\Far\Far.exe
- %ProgramFilesDir%\CuteFTP\cutftp32.exe
- %ProgramFilesDir%\Adobe\Acrobat
- %ProgramFilesDir%\4.0\Reader\AcroRd32.exe
- %ProgramFilesDir%\ACDSee32\ACDSee32.exe
- %ProgramFilesDir%\MSN Messenger\msnmsgr.exe
- %ProgramFilesDir%\WS_FTP\WS_FTP95.exe
- %ProgramFilesDir%\QuickTime\QuickTimePlayer.exe
- %ProgramFilesDir%\StreamCast\Morpheus\Morpheus.exe
- %ProgramFilesDir%\Zone Labs\ZoneAlarm\ZoneAlarm.exe
- %ProgramFilesDir%\Trillian\Trillian.exe
- %ProgramFilesDir%\Lavasoft\Ad-aware 6\Ad-aware.exe
- %ProgramFilesDir%\AIM95\aim.exe
- %ProgramFilesDir%\Winamp\winamp.exe
- %ProgramFilesDir%\DAP\DAP.exe
- %ProgramFilesDir%\ICQ\Icq.exe
- %ProgramFilesDir%\kazaa\kazaa.exe
- %ProgramFilesDir%\winzip\winzip32.exe
%Windows% = C:\Windows ou C:\Winnt (selon la version de Windows)
%ProgramFilesDir% = C:\Program Files (par défaut)
INFORMATIONS COMPLEMENTAIRES :
-> FAQ : comment
désinfecter le répertoire C:\RESTORE?
-> FAQ
: des dizaines de messages infectés envahissent ma boîte aux
lettres. Mon ordinateur est-il contaminé? Comment arrêter
ça?
-> FAQ
: une alerte m'indique qu'un virus a été trouvé dans un message
que j'ai envoyé. Mon ordinateur est-il infecté?
-> FAQ
: que faire dans le cas d'un fichier "uncleanable"
(non nettoyable)?
-> FAQ
: comment supprimer un fichier en cours d'utilisation?
-> FAQ
: qu'est-ce que le partage de fichiers et comment y mettre
fin?
-> Dossier
Secuser.com sur les virus
-> Abonnement gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
|