Accueil Actualités Documentation Téléchargement Vulnérabilités Phishing Hoax Virus Antivirus en ligne Contact
 
Secuser.com
 
GENERAL
Actualité du jour
Lettres d'information
Recommander ce site
Signaler un incident
Nous écrire
 
VIRUS
Alertes virus
Dossiers virus
Alertes par email
Antivirus gratuits
Antivirus en ligne
Désinfection
FAQ virus
 
PROTECTION
Alertes sécurité
Dossier firewall
Alertes par email
Firewalls gratuits
Scanner de ports
Antirootkits gratuits
Traceur IP/domaine
Windows Update
FAQ sécurité
 
PHISHING
Alertes phishing
Logiciels antiphishing
FAQ phishing
 
SPAM
Dossier spammning
Logiciels antispam
FAQ spam
 
VIE PRIVEE
Paiements en ligne
Dossier spywares
Antispywares gratuits
Vos traces sur le Net
FAQ vie privée
 
HOAX
Alertes hoax
Dossier hoax
Dossier viroax
Antihoax en ligne
FAQ hoax
 
NEWSLETTER
Recevez chaque semaine la lettre de Secuser.com :
 
 
ALERTE CONTAMINATION

Virus
Bofra.A (=Mydoom.AG)

Bofra.A est un virus qui se propage par courriel. Il se présente sous la forme d'un message en anglais sans fichier joint contenant un lien hypertexte prétendant renvoyer notamment vers un site personnel ou vers une vidéo pour adultes. Si l'utilisateur clique sur ce lien, il est en fait redirigé vers une page web piégée qui provoque l'installation automatique du virus sur son ordinateur si son navigateur est Microsoft Internet Explorer (excepté sous Windows XP SP2) en exploitant la faille IFRAME récemment rendue publique et non encore corrigée. Le virus envoie alors un message contenant un lien vers une nouvelle page piégée aux adresses trouvées sur l'ordinateur infecté.
 

PREVENTION :
Les utilisateurs concernés doivent mettre à jour leur antivirus. Les utilisateurs de Windows XP doivent installer le correctif Service Pack 2 et les utilisateurs du navigateur Internet Explorer prendre des mesures préventives pour limiter les risques d'exploitation de la faille utilisée par le virus pour s'exécuter automatiquement.

DESINFECTION :
Avant de commencer la désinfection, il est impératif de s'assurer avoir appliqué les mesures préventives ci-dessus afin d'empêcher toute réinfection de l'ordinateur par le virus. Les utilisateurs ne disposant pas d'un antivirus peuvent utiliser gratuitement l'utilitaire de désinfection FixBofra pour rechercher et éliminer le virus.

TYPE :
Ver

SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003

ALIAS :
Win32.Bofra.B (Computer Associates)
Bofra.A (F-Secure)
I-Worm.Bofra.a (Kaspersky)
W32/Mydoom.ag@MM (Mc Afee)
W32/Bofra.C.worm (Panda Software)
W32/Bofra-A (Sophos)
W32.Mydoom.AI@mm (Symantec)
W32.Bofra.A@mm (Symantec)
WORM_MYDOOM.AG (Trend Micro)
WORM_BOFRA.A (Trend Micro)

TAILLE :
20.751 octets

DECOUVERTE :
08/11/04

DESCRIPTION DETAILLEE :
Bofra.A est un virus qui se propage par courriel. Il se présente sous la forme d'un message en anglais et sans fichier attaché, dont le titre est :

  • funny photos :)
  • hello
  • hey!
  • [vide]
  • [caractères aléatoires]

Le corps du message est :

Si l'utilisateur clique sur le lien contenu dans ce message, il est redirigé vers une page web piégée installée sur l'ordinateur infecté à l'origine de l'envoi du message qui provoque l'installation automatique du virus sur son ordinateur si son navigateur est Microsoft Internet Explorer (excepté sous Windows XP SP2) en exploitant la vulnérabilité IFRAME récemment rendue publique sans concertation avec l'éditeur et pour laquelle il n'existe par encore de correctif.

La consultation de la page web piégée (http://[adresse IP]:1639/index.htm) provoque le téléchargement d'un fichier W.DAT sur le Bureau Windows de l'utilisateur infecté puis son exécution, l'installation du virus dans le répertoire System de Windows sous le nom 32.EXE et la modification de la base de registres afin qu'il soit exécuté à chaque démarrage de l'ordinateur. Le virus installe un serveur web rudimentaire, ouvre le port 1639 et envoie à son tour un message contenant un lien vers une page piégée située sur l'ordinateur nouvellement contaminé aux adresses trouvées sur son disque dur, avec son propre moteur SMTP et en utilisant une adresse d'expéditeur falsifiée.

La propagation de ce virus reste pour l'instant limitée mais les utilisateurs d'Internet Explorer doivent se montrer particulièrement vigilants en attendant la disponibilité d'un correctif officiel pour la faille IFRAME. D'autres virus pourraient être amenés à exploiter cette faille non encore corrigée.

09/11/04 : une variante mineure Bofra.B (également nommée I-Worm.Bofra.b, Mydoom.AH, W32.Mydoom.AH@mm, WORM_MYDOOM.AH ou W32/Bofra-B) a été identifiée. Elle est fonctionnellement identique à Bofra.A, mais diffère par la taille du virus (21.508 octets), les titres possibles ("hi!", "hey!", "Confirmation", [vide]) et le corps du message :

  • Congratulations!
    PayPal has successfully charged $175 to your credit card. Your order tracking number is A866DEC0, and your item will be shipped within three business days.
    To see details please click this link .
    DO NOT REPLY TO THIS MESSAGE VIA EMAIL! This email is being sent by an automated message system and the reply will not be received.
    Thank you for using PayPal.
    [l'expéditeur est souvent dans ce cas exchange-robot@paypal.com]
  • Hi!
    I am looking for new friends. My name is Jane, I am from Miami, FL.
    See my homepage with my weblog and last webcam photos!
    See you!
  • Hi!
    I am looking for new friends. I am from Miami, FL. You can see my homepage with my last webcam photos!

INFORMATIONS COMPLEMENTAIRES :
-> Abonnement gratuit à la lettre Secuser Alerte pour être prévenu de l'apparition des nouveaux hoax et virus
-> Identifier les fausses alertes virus avec Hoaxkiller.fr
-> FAQ : des dizaines de messages infectés envahissent ma boîte aux lettres. Mon ordinateur est-il contaminé? Comment arrêter ça?
-> FAQ : une alerte m'indique qu'un virus a été trouvé dans un message que j'ai envoyé. Mon ordinateur est-il infecté?
-> FAQ : comment désinfecter le répertoire C:\RESTORE?
-> FAQ : que faire dans le cas d'un fichier "uncleanable" (non nettoyable)?
-> FAQ : comment supprimer un fichier en cours d'utilisation?
-> FAQ : qu'est-ce que le partage de fichiers et comment y mettre fin?
-> Dossier Secuser.com sur les virus

 
PUBLICITE
 
RECHERCHE
Recherchez un mot-clé
dans le site Secuser.com :

 
LIENS AMIS
Hoaxkiller.fr
Ne vous laissez plus piéger par les fausses informations qui envahissent le Net.
Inoculer.com
Annuaire de logiciels gratuits pour protéger votre ordinateur.
 
  Copyright © 1998-2017 Emmanuel JUD - Tous droits réservés - Secuser est une marque déposée - Charte vie privée
Outils gratuits - Guides gratuits - Livres - Glossaire - Fils d'information - Bannières et boutons