Virus
Bagle.E

TYPE :
Ver

SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003

ALIAS :
Bagle.E (F-Secure)
I-Worm.Bagle.e (Kaspersky)
W32/Bagle.e@MM (McAfee)
W32/Bagle-E (Sophos)
W32.Beagle.E@mm (Symantec)
WORM_BAGLE.E (Trend Micro)

TAILLE :
17.344 octets (.ZIP)
17.222 octets (.EXE)

DECOUVERTE :
29/02/2004

DESCRIPTION DETAILLEE :
Le virus Bagle.E est une variante du virus Bagle.C. Il se présente sous la forme d'un message dont l'objet est aléatoire :

• Accounts department
• Ahtung!
• Camila
• Daily activity report
• Flayers among us
• Freedom for everyone
• From Hair-cutter
• From me
• Greet the day
• Hardware devices price-list
• Hello my friend
• Hi!
• Jenny
• Jessica
• Looking for the report
• Maria
• Melissa
• Monthly incomings summary
• New Price-list
• Price
• Price list
• Pricelist
• Price-list
• Proclivity to servitude
• Registration confirmation
• The account
• The employee
• The summary
• USA government abolishes the capital punishment
• Weekly activity report
• Well...
• You are dismissed
• You really love me? he he

Le corps du message est également variable :

• Subj
• Request
• Empty
• Response
• Everything inside the attach
• Look it through
• Cya

Le fichier joint possède un nom aléatoire avec une extension en .ZIP et contient un fichier exécutable en .EXE dont l'icône est souvent celle d'un fichier texte. Quelques exemples :

• acdabd.zip
• bbdadac.zip
• daddabcdd.zip
• abdb.zip
• abcaac.zip
• dccdada.zip
• cdaccbacadb.zip
• ccb.zip

Si ce fichier est exécuté, le virus se copie dans le répertoire System sous le nom i1ru74n4.exe ainsi que les fichiers godo.exe, ii455nj4.exe et i1ru74n4.exeopen, il lance le Notepad de Windows (notepad.exe) pour faire diversion, modifie la base de registres afin d'être exécuté à chaque démarrage de l'ordinateur, puis s'envoie automatiquement aux contacts dont les adresses figurent dans le carnet d'adresses Windows ainsi que les fichiers .ADB, .ASP, .CFG, .DBX, .EML, .HTM, .HTML, .MDX, .MMF, .NCH, .ODS, .PHP, .PL, .SHT et .TXT présents sur le disque dur (exceptées les adresses en @hotmail.com, @msn.com, @microsoft et @avp) avec une adresse d'expéditeur falsifiée. Cette adresse correspond le plus souvent à l'adresse d'un utilisateur réel, qui n'est en rien responsable de l'envoi du virus, afin qu'il soit impossible de prévenir la personne effectivement infectée.

Bagle.E installe une porte dérobée qui ouvre le port TCP 2745 de l'ordinateur infecté, puis tente de terminer les processus suivants pour empêcher l'utilisation ou la mise à jour des logiciels de sécurité correspondants :

• ATUPDATER.EXE
• ATUPDATER.EXE
• AUPDATE.EXE
• AUTODOWN.EXE
• AUTOTRACE.EXE
• AUTOUPDATE.EXE
• AVLTMAIN.EXE
• AVPUPD.EXE
• AVWUPD32.EXE
• AVXQUAR.EXE
• CFIAUDIT.EXE
• DRWEBUPW.EXE
• ICSSUPPNT.EXE
• ICSUPP95.EXE
• LUALL.EXE
• MCUPDATE.EXE
• NUPGRADE.EXE
• NUPGRADE.EXE
• OUTPOST.EXE
• UPDATE.EXE

Le virus est conçu pour ne plus se propager lorsque la date du système est égale ou supérieure au 25/03/04, mais il restera présent dans les systèmes déjà infectés, donc une désinfection restera nécessaire.

INFORMATIONS COMPLEMENTAIRES :
-> Abonnement gratuit à la lettre Secuser Alerte pour être prévenu de l'apparition des nouveaux hoax et virus
-> Identifier les fausses alertes virus avec Hoaxkiller.fr
-> FAQ : des dizaines de messages infectés envahissent ma boîte aux lettres. Mon ordinateur est-il contaminé? Comment arrêter ça?
-> FAQ : une alerte m'indique qu'un virus a été trouvé dans un message que j'ai envoyé. Mon ordinateur est-il infecté?
-> FAQ : comment désinfecter le répertoire C:\RESTORE?
-> FAQ : que faire dans le cas d'un fichier "uncleanable" (non nettoyable)?
-> FAQ : comment supprimer un fichier en cours d'utilisation?
-> FAQ : qu'est-ce que le partage de fichiers et comment y mettre fin?
-> Dossier Secuser.com sur les virus