Bagle.Q est un virus qui se propage par email et via les
dossiers partagés. Il se présente sous la forme
d'un message au format HTML dont le titre est aléatoire,
sans fichier joint. Si l'ordinateur n'est pas à jour
dans ses correctifs de sécurité, la simple ouverture
ou prévisualisation du message provoque l'exécution
d'un script qui télécharge et exécute
le virus à l'insu de l'utilisateur depuis un serveur
distant. Bagle.Q installe alors un serveur web sur l'ordinateur
infecté, envoie un message piégé aux
adresses présentes dans le carnet d'adresses Windows
et divers autres fichiers, tente de désactiver un grand
nombre de logiciels de sécurité, installe une
porte dérobée, infecte les fichiers .EXE du
disque puis se copie dans les dossiers partagés.
PREVENTION :
Les utilisateurs concernés doivent mettre
à jour leur antivirus. En cas de doute, les utilisateurs
d'Internet Explorer doivent aussi mettre à jour
leur navigateur via le site
de Microsoft ou le service WindowsUpdate
afin de corriger la faille exploitée par le virus
pour s'exécuter automatiquement.
DESINFECTION :
Avant de commencer la désinfection, il est impératif
de s'assurer avoir appliqué les mesures préventives
ci-dessus afin d'empêcher toute réinfection
de l'ordinateur par le virus. Les utilisateurs ne disposant
pas d'un antivirus peuvent utiliser gratuitement l'utilitaire
de désinfection FxBgleMO pour rechercher
et éliminer le virus.
|
TYPE :
Ver + Infecteur de fichiers
SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003
ALIAS :
Bagle.Q (F-Secure)
I-Worm.Bagle.q (Kaspersky)
W32/Bagle.q@MM (McAfee)
W32/Bagle-Q (Sophos)
W32.Beagle.O@mm (Symantec)
PE_BAGLE.Q (Trend Micro)
TAILLE :
25.600 octets
DECOUVERTE :
18/03/2004
DESCRIPTION DETAILLEE :
Le virus Bagle.Q est une variante du virus Bagle.N.
Il se présente sous la forme d'un message vide dont
l'objet aléatoire, sans fichier joint :
- Account notify
- E-mail account disabling warning.
- E-mail account security warning.
- Email account utilization warning.
- Email report
- E-mail technical support message.
- E-mail technical support warning.
- E-mail warning
- Encrypted document
- Fax Message Received
- Forum notify
- Hidden message
- Important notify
- Important notify about your e-mail account.
- Incoming message
- Notify about using the e-mail account.
- Notify about your e-mail account utilization.
- Notify from e-mail technical support.
- Protected message
- Re: Document
- Re: Hello
- Re: Hi
- Re: Incoming Fax
- Re: Incoming Message
- Re: Msg reply
- RE: Protected message
- RE: Text message
- Re: Thank you!
- Re: Thanks :)
- Re: Yahoo!
- Request response
- Site changes
- Warning about your e-mail account.
Le message au format HTML exploite la vulnérabilité
MS03-040 d'Internet Explorer 5.01 et 5.5 (03/10/03) :
si l'ordinateur n'est pas à jour dans ses correctifs
de sécurité, la simple ouverture ou prévisualisation
du message provoque l'exécution d'un script qui télécharge
et exécute le virus à l'insu de l'utilisateur
depuis un serveur distant. Le virus se copie alors dans le
répertoire System sous le nom DIRECTS.EXE, modifie
la base de registres afin d'être exécuté
à chaque démarrage de l'ordinateur, puis envoie
un message piégé aux contacts dont les adresses
figurent dans le carnet d'adresses Windows ainsi que les fichiers
.ADB, .ASP, .CFG, .CGI, .DBX, .DHTM, .EML, .HTM, .HTML, .JSP,
.MBX, .MDX, .MHT, .MMF, .MSG, .NCH, .ODS, .OFT, .PHP, .PL,
.SHT, .SHTM, .STM, .TBB, .TXT, .UIN, .WSH, .XLS et .XML présents
sur le disque avec une adresse d'expéditeur falsifiée.
Cette adresse est formée à partir du nom de
domaine de l'adresse du destinataire, en utilisant comme nom
d'expéditeur une adresse falsifiée ou usurpée.
Bagle.Q installe un serveur web rudimentaire sur l'ordinateur
infecté (afin de permettre le téléchargement
du virus depuis cet ordinateur) ainsi qu'une porte dérobée
qui ouvre le port 2556, il infecte les fichiers .EXE de l'ordinateur
en y ajoutant son propre code, puis tente de terminer les
processus suivants pour désactiver les antivirus et
autres logiciels de sécurité correspondants
:
- AGENTSVR.EXE
- ANTI-TROJAN.EXE
- ANTI-TROJAN.EXE
- ANTIVIRUS.EXE
- ANTS.EXE
- APIMONITOR.EXE
- APLICA32.EXE
- APVXDWIN.EXE
- ATCON.EXE
- ATGUARD.EXE
- ATRO55EN.EXE
- ATUPDATER.EXE
- ATWATCH.EXE
- au.exe
- AUPDATE.EXE
- AUTODOWN.EXE
- AUTOTRACE.EXE
- AUTOUPDATE.EXE
- AVCONSOL.EXE
- AVGSERV9.EXE
- AVLTMAIN.EXE
- AVprotect9x.exe
- AVPUPD.EXE
- AVSYNMGR.EXE
- AVWUPD32.EXE
- AVXQUAR.EXE
- BD_PROFESSIONAL.EXE
- BIDEF.EXE
- BIDSERVER.EXE
- BIPCP.EXE
- BIPCPEVALSETUP.EXE
- BISP.EXE
- BLACKD.EXE
- BLACKICE.EXE
- BOOTWARN.EXE
- BORG2.EXE
- BS120.EXE
- CDP.EXE
- CFGWIZ.EXE
- CFGWIZ.EXE
- CFIADMIN.EXE
- CFIADMIN.EXE
- CFIAUDIT.EXE
- CFIAUDIT.EXE
- CFIAUDIT.EXE
- CFINET.EXE
- CFINET.EXE
- CFINET32.EXE
- CFINET32.EXE
- CLEAN.EXE
- CLEAN.EXE
- CLEANER.EXE
- CLEANER.EXE
- CLEANER3.EXE
- CLEANER3.EXE
- CLEANPC.EXE
- CLEANPC.EXE
- CMGRDIAN.EXE
- CMGRDIAN.EXE
- CMON016.EXE
- CMON016.EXE
- CPD.EXE
- CPF9X206.EXE
- CPFNT206.EXE
- CV.EXE
- CWNB181.EXE
- CWNTDWMO.EXE
- d3dupdate.exe
- DEFWATCH.EXE
- DEPUTY.EXE
- DPF.EXE
- DPFSETUP.EXE
- DRWATSON.EXE
- DRWEBUPW.EXE
- ENT.EXE
- ESCANH95.EXE
- ESCANHNT.EXE
- ESCANV95.EXE
- EXANTIVIRUS-CNET.EXE
- FAST.EXE
- FIREWALL.EXE
- FLOWPROTECTOR.EXE
- FP-WIN_TRIAL.EXE
- FRW.EXE
- FSAV.EXE
- FSAV530STBYB.EXE
- FSAV530WTBYB.EXE
- FSAV95.EXE
- GBMENU.EXE
- GBPOLL.EXE
- GUARD.EXE
- GUARDDOG.EXE
- HACKTRACERSETUP.EXE
- HTLOG.EXE
- HWPE.EXE
- IAMAPP.EXE
- IAMAPP.EXE
- IAMSERV.EXE
- ICLOAD95.EXE
- ICLOADNT.EXE
- ICMON.EXE
- ICSSUPPNT.EXE
- ICSUPP95.EXE
- ICSUPP95.EXE
- ICSUPPNT.EXE
- IFW2000.EXE
- IPARMOR.EXE
- IRIS.EXE
- JAMMER.EXE
- KAVLITE40ENG.EXE
- KAVPERS40ENG.EXE
- KERIO-PF-213-EN-WIN.EXE
- KERIO-WRL-421-EN-WIN.EXE
- KERIO-WRP-421-EN-WIN.EXE
- KILLPROCESSSETUP161.EXE
- LDPRO.EXE
- LOCALNET.EXE
- LOCKDOWN.EXE
- LOCKDOWN2000.EXE
- LSETUP.EXE
- LUALL.EXE
- LUCOMSERVER.EXE
- LUINIT.EXE
- MCAGENT.EXE
- MCUPDATE.EXE
- MCUPDATE.EXE
- MFW2EN.EXE
- MFWENG3.02D30.EXE
- MGUI.EXE
- MINILOG.EXE
- MOOLIVE.EXE
- MRFLUX.EXE
- MSCONFIG.EXE
- MSINFO32.EXE
- MSSMMC32.EXE
- MU0311AD.EXE
- NAV80TRY.EXE
- NAVAPW32.EXE
- NAVDX.EXE
- NAVSTUB.EXE
- NAVW32.EXE
- NC2000.EXE
- NCINST4.EXE
- NDD32.EXE
- NEOMONITOR.EXE
- NETARMOR.EXE
- NETINFO.EXE
- NETMON.EXE
- NETSCANPRO.EXE
- NETSPYHUNTER-1.2.EXE
- NETSTAT.EXE
- NISSERV.EXE
- NISUM.EXE
- NMAIN.EXE
- NORTON_INTERNET_SECU_3.0_407.EXE
- NPF40_TW_98_NT_ME_2K.EXE
- NPFMESSENGER.EXE
- NPROTECT.EXE
- NSCHED32.EXE
- NTVDM.EXE
- NUPGRADE.EXE
- NVARCH16.EXE
- NWINST4.EXE
- NWTOOL16.EXE
- OSTRONET.EXE
- OUTPOST.EXE
- OUTPOSTINSTALL.EXE
- OUTPOSTPROINSTALL.EXE
- PADMIN.EXE
- PANIXK.EXE
- PAVPROXY.EXE
- PCC2002S902.EXE
- PCC2K_76_1436.EXE
- PCCIOMON.EXE
- PCDSETUP.EXE
- PCFWALLICON.EXE
- PCFWALLICON.EXE
- PCIP10117_0.EXE
- PDSETUP.EXE
- PERISCOPE.EXE
- PERSFW.EXE
- PF2.EXE
- PFWADMIN.EXE
- PINGSCAN.EXE
- PLATIN.EXE
- POPROXY.EXE
- POPSCAN.EXE
- PORTDETECTIVE.EXE
- PPINUPDT.EXE
- PPTBC.EXE
- PPVSTOP.EXE
- PROCEXPLORERV1.0.EXE
- PROPORT.EXE
- PROTECTX.EXE
- PSPF.EXE
- PURGE.EXE
- PVIEW95.EXE
- QCONSOLE.EXE
- QSERVER.EXE
- RAV8WIN32ENG.EXE
- REGEDIT.EXE
- REGEDT32.EXE
- RESCUE.EXE
- RESCUE32.EXE
- RRGUARD.EXE
- RSHELL.EXE
- RTVSCN95.EXE
- RULAUNCH.EXE
- SAFEWEB.EXE
- SBSERV.EXE
- SD.EXE
- SETUP_FLOWPROTECTOR_US.EXE
- SETUPVAMEEVAL.EXE
- SFC.EXE
- SGSSFW32.EXE
- SH.EXE
- SHELLSPYINSTALL.EXE
- SHN.EXE
- SMC.EXE
- SOFI.EXE
- SPF.EXE
- SPHINX.EXE
- SPYXX.EXE
- SS3EDIT.EXE
- ST2.EXE
- SUPFTRL.EXE
- SUPPORTER5.EXE
- SYMPROXYSVC.EXE
- SYSEDIT.EXE
- TASKMON.EXE
- TAUMON.EXE
- TAUSCAN.EXE
- TC.EXE
- TCA.EXE
- TCM.EXE
- TDS2-98.EXE
- TDS2-NT.EXE
- TDS-3.EXE
- TFAK5.EXE
- TGBOB.EXE
- TITANIN.EXE
- TITANINXP.EXE
- TRACERT.EXE
- TRJSCAN.EXE
- TRJSETUP.EXE
- TROJANTRAP3.EXE
- UNDOBOOT.EXE
- UPDATE.EXE
- VBCMSERV.EXE
- VBCONS.EXE
- VBUST.EXE
- VBWIN9X.EXE
- VBWINNTW.EXE
- VCSETUP.EXE
- VFSETUP.EXE
- VIRUSMDPERSONALFIREWALL.EXE
- VNLAN300.EXE
- VNPC3000.EXE
- VPC42.EXE
- VPFW30S.EXE
- VPTRAY.EXE
- VSCENU6.02D30.EXE
- VSECOMR.EXE
- VSHWIN32.EXE
- VSISETUP.EXE
- VSMAIN.EXE
- VSMON.EXE
- VSSTAT.EXE
- VSWIN9XE.EXE
- VSWINNTSE.EXE
- VSWINPERSE.EXE
- W32DSM89.EXE
- W9X.EXE
- WATCHDOG.EXE
- WEBSCANX.EXE
- WGFE95.EXE
- WHOSWATCHINGME.EXE
- WHOSWATCHINGME.EXE
- WINRECON.EXE
- WNT.EXE
- WRADMIN.EXE
- WRCTRL.EXE
- WSBGATE.EXE
- WYVERNWORKSFIREWALL.EXE
- XPF202EN.EXE
- ZAPRO.EXE
- ZAPSETUP3001.EXE
- ZATUTOR.EXE
- ZAUINST.EXE
- ZONALM2601.EXE
- ZONEALARM.EXE
Bagle.Q tente enfin de se propager via les dossiers dont
le nom comporte le mot "sharing" ou "share"
(comme KaZaa, Bearshare, etc.) en s'y copiant sous divers
noms aguicheurs :
- ACDSee 9.exe
- Adobe Photoshop 9 full.exe
- Ahead Nero 7.exe
- Matrix 3 Revolution English Subtitles.exe
- Microsoft Office 2003 Crack, Working!.exe
- Microsoft Office XP working Crack, Keygen.exe
- Microsoft Windows XP, WinXP Crack, working Keygen.exe
- Opera 8 New!.exe
- Porno pics arhive, xxx.exe
- Porno Screensaver.scr
- Porno, sex, oral, anal cool, awesome!!.exe
- Serials.txt.exe
- WinAmp 5 Pro Keygen Crack Update.exe
- WinAmp 6 New!.exe
- Windown Longhorn Beta Leak.exe
- Windows Sourcecode update.doc.exe
- XXX hardcore images.exe
Le virus est conçu pour se désactiver lorsque
la date du système est égale ou supérieure
au 31/12/05, mais il reste présent dans les systèmes
déjà infectés, donc une désinfection
reste nécessaire.
INFORMATIONS COMPLEMENTAIRES :
-> Abonnement
gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
-> Identifier
les fausses alertes virus avec Hoaxkiller.fr
-> FAQ
: des dizaines de messages infectés envahissent ma boîte aux
lettres. Mon ordinateur est-il contaminé? Comment arrêter
ça?
-> FAQ
: une alerte m'indique qu'un virus a été trouvé dans un message
que j'ai envoyé. Mon ordinateur est-il infecté?
-> FAQ : comment
désinfecter le répertoire C:\RESTORE?
-> FAQ
: que faire dans le cas d'un fichier "uncleanable"
(non nettoyable)?
-> FAQ
: comment supprimer un fichier en cours d'utilisation?
-> FAQ
: qu'est-ce que le partage de fichiers et comment y mettre
fin?
-> Dossier
Secuser.com sur les virus
|