Virus
Bofra.A (=Mydoom.AG)

TYPE :
Ver

SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003

ALIAS :
Win32.Bofra.B (Computer Associates)
Bofra.A (F-Secure)
I-Worm.Bofra.a (Kaspersky)
W32/Mydoom.ag@MM (Mc Afee)
W32/Bofra.C.worm (Panda Software)
W32/Bofra-A (Sophos)
W32.Mydoom.AI@mm (Symantec)
W32.Bofra.A@mm (Symantec)
WORM_MYDOOM.AG (Trend Micro)
WORM_BOFRA.A (Trend Micro)

TAILLE :
20.751 octets

DECOUVERTE :
08/11/04

DESCRIPTION DETAILLEE :
Bofra.A est un virus qui se propage par courriel. Il se présente sous la forme d'un message en anglais et sans fichier attaché, dont le titre est :

• funny photos :)
• hello
• hey!
• [vide]
• [caractères aléatoires]

Le corps du message est :

• Look at my homepage with my last webcam photos!
• FREE ADULT VIDEO! SIGN UP NOW!

Si l'utilisateur clique sur le lien contenu dans ce message, il est redirigé vers une page web piégée installée sur l'ordinateur infecté à l'origine de l'envoi du message qui provoque l'installation automatique du virus sur son ordinateur si son navigateur est Microsoft Internet Explorer (excepté sous Windows XP SP2) en exploitant la vulnérabilité IFRAME récemment rendue publique sans concertation avec l'éditeur et pour laquelle il n'existe par encore de correctif.

La consultation de la page web piégée (http://[adresse IP]:1639/index.htm) provoque le téléchargement d'un fichier W.DAT sur le Bureau Windows de l'utilisateur infecté puis son exécution, l'installation du virus dans le répertoire System de Windows sous le nom 32.EXE et la modification de la base de registres afin qu'il soit exécuté à chaque démarrage de l'ordinateur. Le virus installe un serveur web rudimentaire, ouvre le port 1639 et envoie à son tour un message contenant un lien vers une page piégée située sur l'ordinateur nouvellement contaminé aux adresses trouvées sur son disque dur, avec son propre moteur SMTP et en utilisant une adresse d'expéditeur falsifiée.

La propagation de ce virus reste pour l'instant limitée mais les utilisateurs d'Internet Explorer doivent se montrer particulièrement vigilants en attendant la disponibilité d'un correctif officiel pour la faille IFRAME. D'autres virus pourraient être amenés à exploiter cette faille non encore corrigée.

09/11/04 : une variante mineure Bofra.B (également nommée I-Worm.Bofra.b, Mydoom.AH, W32.Mydoom.AH@mm, WORM_MYDOOM.AH ou W32/Bofra-B) a été identifiée. Elle est fonctionnellement identique à Bofra.A, mais diffère par la taille du virus (21.508 octets), les titres possibles ("hi!", "hey!", "Confirmation", [vide]) et le corps du message :

• Congratulations!
  PayPal has successfully charged $175 to your credit card. Your order tracking number is A866DEC0, and your item will be shipped within three business days.
  To see details please click this link .
  DO NOT REPLY TO THIS MESSAGE VIA EMAIL! This email is being sent by an automated message system and the reply will not be received.
  Thank you for using PayPal.
  [l'expéditeur est souvent dans ce cas exchange-robot@paypal.com]
  
• Hi!
  I am looking for new friends. My name is Jane, I am from Miami, FL.
  See my homepage with my weblog and last webcam photos!
  See you!
• Hi!
  I am looking for new friends. I am from Miami, FL. You can see my homepage with my last webcam photos!
  

INFORMATIONS COMPLEMENTAIRES :
-> Abonnement gratuit à la lettre Secuser Alerte pour être prévenu de l'apparition des nouveaux hoax et virus
-> Identifier les fausses alertes virus avec Hoaxkiller.fr
-> FAQ : des dizaines de messages infectés envahissent ma boîte aux lettres. Mon ordinateur est-il contaminé? Comment arrêter ça?
-> FAQ : une alerte m'indique qu'un virus a été trouvé dans un message que j'ai envoyé. Mon ordinateur est-il infecté?
-> FAQ : comment désinfecter le répertoire C:\RESTORE?
-> FAQ : que faire dans le cas d'un fichier "uncleanable" (non nettoyable)?
-> FAQ : comment supprimer un fichier en cours d'utilisation?
-> FAQ : qu'est-ce que le partage de fichiers et comment y mettre fin?
-> Dossier Secuser.com sur les virus