Bagle.BD est un virus qui se propage par courriel.
Il se présente sous la forme d'un message dont le titre
et le corps sont vides, accompagné d'un fichier joint
avec une extension .RAR (15 Ko). Si ce fichier est exécuté,
il tente de désactiver et/ou supprimer les principaux
antivirus et pare-feux personnels, modifie le système
pour empêcher la connexion aux sites de Microsoft et des
principaux éditeurs d'antivirus, puis tente de télécharger
et d'exécuter le virus proprement dit depuis une liste
de sites web distants. Ce dernier s'envoie alors massivement
à des adresses récupérées sur un
autre site web distant, puis installe une porte dérobée
permettant la prise de contrôle à distance de l'ordinateur
infecté par un individu malveillant.
PREVENTION :
Les utilisateurs concernés doivent mettre à jour
leur antivirus. D'une manière générale, même si son
nom est intriguant ou attrayant il ne faut pas exécuter
un fichier joint douteux sans avoir fait confirmer son
envoi par l'expéditeur puis l'avoir analysé avec un
antivirus à jour.
DESINFECTION :
Avant de commencer la désinfection, il est impératif
de s'assurer avoir appliqué les mesures préventives
ci-dessus afin d'empêcher toute réinfection
de l'ordinateur par le virus. Les
utilisateurs ne disposant pas d'un antivirus peuvent
utiliser gratuitement l'antivirus
gratuit en ligne pour rechercher et éliminer
le virus.
|
TYPE :
Ver
SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003
ALIAS :
Worm/Bagle.BE (Antivir)
Win32:Beagle-BD (Avast)
Win32.Bagle.BG@mm (Bitdefender)
Win32.Bagle.BD (CA)
Win32.Glieder.S (CA)
W32/Mitglieder.gen (F-Prot)
Bagle.pac (F-Secure)
Email-Worm.Win32.Bagle.pac (Kaspersky)
W32/Bagle.gen@MM (Mc Afee)
W32.Beagle.BK@mm (Symantec)
Trojan.Tooso.E (Symantec)
WORM_BAGLE.BG (Trend Micro)
TROJ_BAGLE.BG (Trend Micro)
TAILLE :
15 Ko
DECOUVERTE :
04/03/2005
DESCRIPTION DETAILLEE :
Bagle.BD se présente sous la forme d'un courrier
électronique dont l'objet et le corps de message sont
vides. Le fichier joint possède un nom aléatoire
composé de chiffres, avec une extension en .RAR (15
Ko) :
- 345556.rar
- 54543.rar
- 075466.rar
- 543.rar
- 34544.rar
- 2332134.rar
- 655454.rar
- 977888.rar
Ce fichier archive en .RAR contient un fichier exécutable
en .EXE qui n'est pas un virus mais un cheval de Troie téléchargeur
de fichier (trojan horse downloader). Si ce fichier est exécuté,
le cheval de Troie se copie dans le répertoire système
de Windows sous le nom WINSHOST.EXE, tente de désactiver
et/ou supprimer les principaux antivirus et pare-feux personnels,
puis de télécharger et d'exécuter le
virus Bagle.BD depuis une liste de sites web. Ce dernier s'envoie
alors massivement à des adresses récupérées
sur un autre site web puis ouvre une porte dérobée
sur le port TCP 80 permettant la prise de contrôle à
distance de l'ordinateur par un individu malveillant.
INFORMATIONS COMPLEMENTAIRES :
-> Abonnement
gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
-> Identifier
les fausses alertes virus avec Hoaxkiller.fr
-> FAQ
: des dizaines de messages infectés envahissent ma boîte aux
lettres. Mon ordinateur est-il contaminé? Comment arrêter
ça?
-> FAQ
: une alerte m'indique qu'un virus a été trouvé dans un message
que j'ai envoyé. Mon ordinateur est-il infecté?
-> FAQ : comment
désinfecter le répertoire C:\RESTORE?
-> FAQ
: que faire dans le cas d'un fichier "uncleanable"
(non nettoyable)?
-> FAQ
: comment supprimer un fichier en cours d'utilisation?
-> FAQ
: qu'est-ce que le partage de fichiers et comment y mettre
fin?
-> Dossier
Secuser.com sur les virus
|