Bizex est un virus qui cible les utilisateurs
du logiciel de messagerie instantanée ICQ et se présente
sous la forme d'un message qui les invite à visiter un
site web "Jokeworld" piégé. Si le destinataire
visite le site avec un navigateur Internet Explorer non à
jour dans ses correctifs de sécurité, le virus
infecte l'ordinateur à son insu, installe un troyen keylogger
espionnant les frappes au clavier, puis tente de prendre le
contrôle du logiciel ICQ afin d'envoyer un message à
tous les contacts de la victime infectée pour les inviter
à leur tour à visiter le site piégé.
Ce dernier à toutefois été fermé.
PREVENTION :
Les utilisateurs concernés doivent mettre
à jour leur antivirus. En cas de doute, les utilisateurs
d'Internet Explorer doivent aussi mettre à jour
leur système via le site
de Microsoft ou le service WindowsUpdate
afin de corriger la faille exploitée par le virus
pour s'exécuter automatiquement lors de la visite
d'un site web piégé.
DESINFECTION :
Avant de commencer la désinfection, il est impératif
de s'assurer avoir appliqué les mesures préventives
ci-dessus afin d'empêcher toute réinfection
de l'ordinateur par le virus. Les utilisateurs ne disposant
pas d'un antivirus peuvent utiliser gratuitement l'antivirus
gratuit en ligne pour rechercher et éliminer
le virus.
|
TYPE :
Ver
SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003
ALIAS :
Worm.Win32.Bizex (KAV)
W32/Bizex.worm (Mc Afee)
W32/Bizex-A (Sophos)
W32.Bizex.Worm (Symantec)
WORM_BIZEX.A (Trend Micro)
TAILLE :
86.528 octets
DECOUVERTE :
24/02/04
DESCRIPTION DETAILLEE :
Bizex se présente sous la forme d'un message
ICQ prétendument envoyé par un contact du destinataire
invitant ce dernier à visiter un site web piégé
nommé "Jokeworld". Si l'internaute visite
le site avec un navigateur Internet Explorer non à
jour dans ses correctifs de sécurité, le virus
infecte l'ordinateur selon un processus complexe : la page
piégée remplace le fichier ICQ STARTUP.WAV par
un fichier du même nom contenant un script qui lors
de son exécution créé un fichier WINUPDATE.EXE
qui lors de sa propre exécution provoque le téléchargement
et l'exécution d'un troisième fichier nommé
APTGETUPD.EXE, qui est le composant principal du virus.
Ce dernier se copie alors dans un sous-répertoire
du répertoire System de Windows sous le nom SYSMON.EXE,
installe un troyen keylogger espionnant les frappes au clavier,
recherche et collecte certaines données bancaires (dont
Credit Lyonnais et Bred), puis le cas échéant
tente d'envoyer un message à tous les contacts ICQ
de la victime pour les inviter à visiter le site piégé.
Ce dernier à toutefois été rapidement
désactivé. Décrit par les éditeurs
d'antivirus comme étant un virus multicomposant, Bizex
pourrait également être considéré
comme un simple troyen capable d'envoyer un spam aux correspondants
de sa victime pour les inciter à le télécharger.
Bizex est un "proof of concept" dont le but n'est
clairement pas d'infecter un maximum d'internautes ou de perturber
le trafic Internet mais plutôt de faire parler de lui
dans les médias, comme en son temps le pseudo-virus
Jpeg Perrun (lire notre interview
de son créateur), son originalité étant
susceptible de retenir l'attention des journalistes et de
provoquer de nombreux articles. Les internautes à jour
dans leurs correctifs de sécurité n'ont rien
à craindre de ce malware ou d'éventuelles variantes.
Les autres ont tout intérêt à mettre à
jour leur système via le site WindowsUpdate
et à s'abonner à notre liste Secuser
Alerte pour être tenus informés de la disponibilité
des nouveaux correctifs, car les failles d'Internet Explorer
peuvent être exploitées par d'autres virus ou
d'autres individus douteux à des fins malveillantes.
INFORMATIONS COMPLEMENTAIRES :
-> Abonnement
gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
-> Identifier
les fausses alertes virus avec Hoaxkiller.fr
-> FAQ
: des dizaines de messages infectés envahissent ma boîte aux
lettres. Mon ordinateur est-il contaminé? Comment arrêter
ça?
-> FAQ
: une alerte m'indique qu'un virus a été trouvé dans un message
que j'ai envoyé. Mon ordinateur est-il infecté?
-> FAQ : comment
désinfecter le répertoire C:\RESTORE?
-> FAQ
: que faire dans le cas d'un fichier "uncleanable"
(non nettoyable)?
-> FAQ
: comment supprimer un fichier en cours d'utilisation?
-> FAQ
: qu'est-ce que le partage de fichiers et comment y mettre
fin?
-> Dossier
Secuser.com sur les virus
|