Accueil Actualités Documentation Téléchargement Vulnérabilités Phishing Hoax Virus Antivirus en ligne Contact
 
Secuser.com
 
GENERAL
Actualité du jour
Lettres d'information
Recommander ce site
Signaler un incident
Nous écrire
 
VIRUS
Alertes virus
Dossiers virus
Alertes par email
Antivirus gratuits
Antivirus en ligne
Désinfection
FAQ virus
 
PROTECTION
Alertes sécurité
Dossier firewall
Alertes par email
Firewalls gratuits
Scanner de ports
Antirootkits gratuits
Traceur IP/domaine
Windows Update
FAQ sécurité
 
PHISHING
Alertes phishing
Logiciels antiphishing
FAQ phishing
 
SPAM
Dossier spammning
Logiciels antispam
FAQ spam
 
VIE PRIVEE
Paiements en ligne
Dossier spywares
Antispywares gratuits
Vos traces sur le Net
FAQ vie privée
 
HOAX
Alertes hoax
Dossier hoax
Dossier viroax
Antihoax en ligne
FAQ hoax
 
NEWSLETTER
Recevez chaque semaine la lettre de Secuser.com :
 
 
ALERTE CONTAMINATION

Virus
Bugbear.B

Bugbear.B est un virus qui se propage par email et via les dossiers partagés. Il se présente sous la forme d'un message dont le titre et le nom du fichier joint sont aléatoires. Si le fichier joint est exécuté, le virus s'envoie à un maximum d'adresses email extraites de divers fichiers du disque, désactive les antivirus et firewalls personnels les plus populaires, installe un troyen de type "keylogger" qui espionne les frappes au clavier et infecte un grand nombre de fichiers exécutables présents sur l'ordinateur contaminé.
 

PREVENTION :
Les utilisateurs concernés doivent mettre à jour leur antivirus. En cas de doute, les utilisateurs d'Internet Explorer 5.01 et 5.5 doivent aussi mettre à jour leur navigateur via le site de Microsoft ou le service WindowsUpdate afin de corriger la faille exploitée par le virus pour s'exécuter automatiquement. Il faut enfin supprimer les partages de ressources inutiles et protéger les autres par mot de passe afin de prévenir toute propagation du virus.

DESINFECTION :
Avant de commencer la désinfection, il est impératif de s'assurer avoir appliqué les mesures préventives ci-dessus afin d'empêcher toute réinfection de l'ordinateur par le virus. Les utilisateurs ne disposant pas d'un antivirus peuvent utiliser gratuitement l'utilitaire de désinfection FixBugb pour rechercher et éliminer le virus. En cas de contamination d'un réseau local, les ordinateurs infectés doivent être déconnectés du réseau, et n'être reconnectés que lorsque tous les ordinateurs ont été désinfectés.

TYPE :
Ver + infecteur de fichiers

SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP

ALIAS :
Win32.Bugbear.B (Computer Associates)
W32/Bugbear.B@mm (F-Secure)
I-Worm.Tanatos.B (Kaspersky)
W32/Bugbear.b@MM (McAfee)
W32/Bugbear-B (Sophos)
W32.Bugbear.B@mm (Symantec)
PE_BUGBEAR.B (Trend Micro)
W32.Kijmo
W32.Shamur
W32/Bugbear.b!data
W32/Bugbear.b.dam
W32/Bugbear.b.dll
PWSteal.Hooker.Trojan

TAILLE :
72.192 octets

DECOUVERTE :
04/06/2003

DESCRIPTION DETAILLEE :
Bugbear.B est une variante polymorphique du virus Bugbear.A qui présente les mêmes caractéristiques avec en plus la capacité d'infecter certains fichiers exécutables. Le virus se présente sous la forme d'un message dont le titre, le corps et le nom du fichier joint sont aléatoires (pré-programmés ou tirés d'un ou plusieurs fichiers choisis au hasard sur le disque dur), ce qui rend le virus impossible à identifier à la seule lecture de l'objet et de l'expéditeur d'un courrier. Quelques exemples de titres de messages :

  • Your Gift
  • Emploi du temps
  • profession de foi
  • IBM Weekly Update-Canada
  • Fw: Note d'infos du site TPE-PME.COM
  • Voici une carte virtuelle pour vous
  • TR: C'est truculent!...
  • Re: cela va tu finir par se rendre!!!
  • loto
  • Fwd: TR : TR : Joke
  • Alcool et grossesse
  • DOUAL' AIR
  • Fwd: La france que de chouettes noms . . . . Un peut de =
  • La revue de presse d'Info-Decideur.com du mercredi 28 mai 2003
  • FW: CASS 00-06
  • Microsoft Outlook Express 6
  • [gti] Explication rapide sur les ACL
  • Samedi 18 mai
  • we thank you for your quick reply 8894iiytc
  • Fw: EXPORT MANAGER
  • Renseignement sur
  • Re: M/V ARMELLE blk wheat Rouen /Algeria
  • boulot
  • M.V. "ARMELLE" (02/3535) - C/P D.D. 28.11.02 - WHEAT FROM ROUEN TO
  • Information
  • Re: Request fax copy of Hawb
  • Get 8 FREE issues - no risk!
  • Hi!
  • Your News Alert
  • $150 FREE Bonus!
  • Re:
  • Your Gift
  • New bonus in your cash account
  • Tools For Your Online Business
  • Daily Email Reminder
  • News
  • free shipping!
  • its easy
  • Warning!
  • SCAM alert!!!
  • Sponsors needed
  • new reading
  • CALL FOR INFORMATION!
  • 25 merchants and rising
  • Cows
  • My eBay ads
  • empty account
  • Market Update Report
  • click on this!
  • fantastic
  • wow!
  • bad news
  • Lost & Found
  • New Contests
  • Today Only
  • Get a FREE gift!
  • Membership Confirmation
  • Report
  • Please Help...
  • Stats
  • I need help about script!!!
  • Interesting...
  • Introduction
  • various
  • Announcement
  • history screen
  • Correction of errors
  • Just a reminder
  • Payment notices
  • hmm..
  • update
  • Hello!

Les pièces jointes ont généralement une double extension, la dernière étant toujours EXE, SCR ou PIF. Quelques exemples de noms de fichiers joints :

  • antivirus_install.exe.scr
  • sauvegarde5janvier03.pxj.scr
  • convoc_AG240902.doc.pif
  • COMPARATIF IMPRIMANTES.xls.exe
  • Anciens documents Excel.lnk.scr
  • BD.doc.pif
  • Petit Larousse 2000.lnk.pif
  • solution de jeux.lnk.scr
  • imprimantes.kv3.exe
  • advpack.exe.pif
  • Mes documents.lnk.scr
  • 18 mai 03 10h01 Petit Dijeuner Traditionnel ` l'Apo Logis.JPG.pif
  • Classeur1.xls.exe
  • 0106515.dxf.exe
  • AGENT.lpd.scr
  • spider.sav.exe
  • ATTESTATION D.doc.pif
  • INFORMAGCO.eml.pif
  • NOTE.DOC.pif
  • Setup.scr
  • vie juive.JPG.scr
  • Page ENTJTE.doc.scr
  • mona lisa.jpg.exe
  • J.doc.pif
  • cabas.jpg.pif
  • attach01.tif.scr

Le message infecté par Bugbear peut-être au format texte ou HTML. Dans le cas du format HTML, le virus utilise une vulnérabilité IFRAME des navigateurs Internet Explorer 5.01 et 5.5 (MS01-020) pour s'exécuter automatiquement à l'ouverture du message ou lors de son affichage dans la fenêtre de prévisualisation avec les logiciels Outlook ou Outlook Express.

Si le fichier joint est exécuté, le virus se copie dans le répertoire Système de Windows sous un nom aléatoire, modifie la base de registres pour s'exécuter automatiquement au prochain démarrage. Bugbear.B extrait ensuite les adresses emails contenues dans les fichiers INBOX (Mozilla/Netscape) ainsi que ceux comportant l'extension .ODS (Outlook Express), .MMF (Microsoft Mail File), .NCH (Outlook Express News), .MBX (Eudora), .EML (Outlook Express Mail), .TBB (Windows Office Toolbar Button) et .DBX (Outlook Express) pour s'y envoyer automatiquement. Le virus peut s'envoyer avec une fausse adresse d'expéditeur, il est donc le plus souvent impossible de prévenir la personne infectée. Les messages contaminés ne comportent généralement aucun destinataire dans le champ "A:" ou alors simplement l'expression "undisclosed-recipients".

Bugbear.B tente ensuite de se propager via les ressources partagées en réseau Microsoft, y compris vers les imprimantes, ce qui provoque des impressions parasites et des gaspillages de papier (les imprimantes ne peuvent pas être infectées mais tentent d'imprimer le code binaire qu'elles reçoivent, le poste contaminé étant celui de la file d'attente à l'origine de l'impression parasite). Le virus tente également de désactiver les antivirus et firewalls les plus populaires, en terminant les processus correspondants :

  • _AVP32.EXE
  • _AVPCC.EXE
  • _AVPM.EXE
  • ACKWIN32.EXE
  • ANTI-TROJAN.EXE
  • APVXDWIN.EXE
  • AUTODOWN.EXE
  • AVCONSOL.EXE
  • AVE32.EXE
  • AVGCTRL.EXE
  • AVKSERV.EXE
  • AVNT.EXE
  • AVP.EXE
  • AVP32.EXE
  • AVPCC.EXE
  • AVPDOS32.EXE
  • AVPM.EXE
  • AVPTC32.EXE
  • AVPUPD.EXE
  • AVSCHED32.EXE
  • AVWIN95.EXE
  • AVWUPD32.EXE
  • BLACKD.EXE
  • BLACKICE.EXE
  • CFIADMIN.EXE
  • CFIAUDIT.EXE
  • CFINET.EXE
  • CFINET32.EXE
  • CLAW95.EXE
  • CLAW95CF.EXE
  • CLEANER.EXE
  • CLEANER3.EXE
  • DVP95.EXE
  • DVP95_0.EXE
  • ECENGINE.EXE
  • ESAFE.EXE
  • ESPWATCH.EXE
  • F-AGNT95.EXE
  • FINDVIRU.EXE
  • FPROT.EXE
  • F-PROT.EXE
  • F-PROT95.EXE
  • FP-WIN.EXE
  • FRW.EXE
  • F-STOPW.EXE
  • IAMAPP.EXE
  • IAMSERV.EXE
  • IBMASN.EXE
  • IBMAVSP.EXE
  • ICLOAD95.EXE
  • ICLOADNT.EXE
  • ICMON.EXE
  • ICSUPP95.EXE
  • ICSUPPNT.EXE
  • IFACE.EXE
  • IOMON98.EXE
  • JEDI.EXE
  • LOCKDOWN2000.EXE
  • LOOKOUT.EXE
  • LUALL.EXE
  • MOOLIVE.EXE
  • MPFTRAY.EXE
  • N32SCANW.EXE
  • NAVAPW32.EXE
  • NAVLU32.EXE
  • NAVNT.EXE
  • NAVW32.EXE
  • NAVWNT.EXE
  • NISUM.EXE
  • NMAIN.EXE
  • NORMIST.EXE
  • NUPGRADE.EXE
  • NVC95.EXE
  • OUTPOST.EXE
  • PADMIN.EXE
  • PAVCL.EXE
  • PAVSCHED.EXE
  • PAVW.EXE
  • PCCWIN98.EXE
  • PCFWALLICON.EXE
  • PERSFW.EXE
  • RAV7.EXE
  • RAV7WIN.EXE
  • RESCUE.EXE
  • SAFEWEB.EXE
  • SCAN32.EXE
  • SCAN95.EXE
  • SCANPM.EXE
  • SCRSCAN.EXE
  • SERV95.EXE
  • SMC.EXE
  • SPHINX.EXE
  • SWEEP95.EXE
  • TBSCAN.EXE
  • TCA.EXE
  • TDS2-98.EXE
  • TDS2-NT.EXE
  • VET95.EXE
  • VETTRAY.EXE
  • VSCAN40.EXE
  • VSECOMR.EXE
  • VSHWIN32.EXE
  • VSSTAT.EXE
  • WEBSCANX.EXE
  • WFINDV32.EXE
  • ZONEALARM.EXE

Bugbear.B comporte une backdoor qui ouvre le port 1080 de l'ordinateur afin de permettre à une personne distante de se connecter à l'ordinateur de la victime pour dérober, exécuter ou supprimer des fichiers, ainsi qu'un composant keylogger PWSteal.Hooker.Trojan qui espionne les frappes au clavier et envoie périodiquement le résultat à plusieurs adresses emails. Le virus tente enfin d'infecter les fichiers exécutables suivants :

  • %windows%\scandskw.exe
  • %windows%\regedit.exe
  • %windows%\mplayer.exe
  • %windows%\hh.exe
  • %windows%\notepad.exe
  • %windows%\winhelp.exe
  • %ProgramFilesDir%\Internet Explorer\iexplore.exe
  • %ProgramFilesDir%\adobe\acrobat 5.0\reader\acrord32.exe
  • %ProgramFilesDir%\WinRAR\WinRAR.exe
  • %ProgramFilesDir%\Windows Media Player\mplayer2.exe
  • %ProgramFilesDir%\Real\RealPlayer\realplay.exe
  • %ProgramFilesDir%\Outlook Express\msimn.exe
  • %ProgramFilesDir%\Far\Far.exe
  • %ProgramFilesDir%\CuteFTP\cutftp32.exe
  • %ProgramFilesDir%\Adobe\Acrobat
  • %ProgramFilesDir%\4.0\Reader\AcroRd32.exe
  • %ProgramFilesDir%\ACDSee32\ACDSee32.exe
  • %ProgramFilesDir%\MSN Messenger\msnmsgr.exe
  • %ProgramFilesDir%\WS_FTP\WS_FTP95.exe
  • %ProgramFilesDir%\QuickTime\QuickTimePlayer.exe
  • %ProgramFilesDir%\StreamCast\Morpheus\Morpheus.exe
  • %ProgramFilesDir%\Zone Labs\ZoneAlarm\ZoneAlarm.exe
  • %ProgramFilesDir%\Trillian\Trillian.exe
  • %ProgramFilesDir%\Lavasoft\Ad-aware 6\Ad-aware.exe
  • %ProgramFilesDir%\AIM95\aim.exe
  • %ProgramFilesDir%\Winamp\winamp.exe
  • %ProgramFilesDir%\DAP\DAP.exe
  • %ProgramFilesDir%\ICQ\Icq.exe
  • %ProgramFilesDir%\kazaa\kazaa.exe
  • %ProgramFilesDir%\winzip\winzip32.exe

%Windows% = C:\Windows ou C:\Winnt (selon la version de Windows)
%ProgramFilesDir% = C:\Program Files (par défaut)

INFORMATIONS COMPLEMENTAIRES :
-> FAQ : comment désinfecter le répertoire C:\RESTORE?
-> FAQ : des dizaines de messages infectés envahissent ma boîte aux lettres. Mon ordinateur est-il contaminé? Comment arrêter ça?
-> FAQ : une alerte m'indique qu'un virus a été trouvé dans un message que j'ai envoyé. Mon ordinateur est-il infecté?
-> FAQ : que faire dans le cas d'un fichier "uncleanable" (non nettoyable)?
-> FAQ : comment supprimer un fichier en cours d'utilisation?
-> FAQ : qu'est-ce que le partage de fichiers et comment y mettre fin?
-> Dossier Secuser.com sur les virus
-> Abonnement gratuit à la lettre Secuser Alerte pour être prévenu de l'apparition des nouveaux hoax et virus

 
PUBLICITE
 
RECHERCHE
Recherchez un mot-clé
dans le site Secuser.com :

 
LIENS AMIS
Hoaxkiller.fr
Ne vous laissez plus piéger par les fausses informations qui envahissent le Net.
Inoculer.com
Annuaire de logiciels gratuits pour protéger votre ordinateur.
 
  Copyright © 1998-2017 Emmanuel JUD - Tous droits réservés - Secuser est une marque déposée - Charte vie privée
Outils gratuits - Guides gratuits - Livres - Glossaire - Fils d'information - Bannières et boutons