Bagle.BJ est un virus qui se propage par courriel.
Il se présente sous la forme d'un message dont le titre
est vide, accompagné d'un fichier joint avec une extension
.ZIP (17 ou 19 Ko). Si ce fichier est exécuté,
il tente de désactiver et/ou supprimer les principaux
antivirus et pare-feux personnels, modifie le système
pour empêcher la connexion aux sites de Microsoft et des
principaux éditeurs d'antivirus, puis tente de télécharger
et d'exécuter le virus proprement dit depuis une liste
de sites web distants. Ce dernier s'envoie alors massivement
par courriel, puis installe une porte dérobée
permettant la prise de contrôle à distance de l'ordinateur
infecté.
PREVENTION :
Les utilisateurs concernés doivent mettre à jour
leur antivirus. D'une manière générale, même si son
nom est intriguant ou attrayant il ne faut pas exécuter
un fichier joint douteux sans avoir fait confirmer son
envoi par l'expéditeur puis l'avoir analysé avec un
antivirus à jour.
DESINFECTION :
Avant de commencer la désinfection, il est impératif
de s'assurer avoir appliqué les mesures préventives
ci-dessus afin d'empêcher toute réinfection
de l'ordinateur par le virus. Les
utilisateurs ne disposant pas d'un antivirus peuvent
utiliser gratuitement l'antivirus
gratuit en ligne pour rechercher et éliminer
le virus.
|
TYPE :
Ver
SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003
ALIAS :
TR/Dldr.Bagle.BG (Antivir)
TR/Dldr.Bagle.BH.1 (Antivir)
Win32:Beagle-BI (Avast)
Worm.Bagle.BB (Clam)
W32/Bagle.dll.gen (Mc Afee)
W32/Mitglieder.CI (F-Prot)
Email-Worm.Win32.Bagle.bj (Kaspersky)
Trojan.Tooso.H (Symantec)
TAILLE :
17 ou 19 Ko
DECOUVERTE :
16/04/2005
DESCRIPTION DETAILLEE :
Bagle.BJ se présente sous la forme d'un courrier
électronique dont l'objet est vide. Le fichier joint
possède un nom aléatoire avec une extension
en .ZIP :
- Fairy_tale_4534.zip
- Price_43254.zip
- Work.zip
- Price_new_16_04_05.zip
- 5.zip
- 7.zip
Ce fichier archive en .ZIP contient un fichier exécutable
en .EXE qui n'est pas un virus mais un troyen téléchargeur
de fichier (downloader trojan ). Si ce fichier est exécuté,
le troyen se copie dans le répertoire système
de Windows sous le nom WINSHOST.EXE, tente de désactiver
les principaux antivirus et pare-feux personnels, puis de
télécharger et d'exécuter le virus Bagle.BJ
proprement dit depuis une liste de sites web. Ce dernier s'envoie
alors massivement à des adresses récupérées
sur un autre site web distant, puis ouvre une porte dérobée
sur le port TCP 80 permettant la prise de contrôle à
distance de l'ordinateur infecté par un individu malveillant.
20/04/05 : une variante mineure
Bagle.BN (également nommée TR/Dldr.Bagle.BL,
TR/Dldr.Bagle.BO, Win32:Beagle-BO, Win32:Beagle-BR, Win32:Beagle-BS,
Worm.Bagle.BB-gen, W32/Mitglieder.CI, Email-Worm.Win32.Bagle.bn)
a été identifiée. Elle est fonctionnellement
identique mais peut nécesiter une mise à jour
de l'antivirus pour être détectée.
INFORMATIONS COMPLEMENTAIRES :
-> Abonnement
gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
-> Identifier
les fausses alertes virus avec Hoaxkiller.fr
-> FAQ
: des dizaines de messages infectés envahissent ma boîte aux
lettres. Mon ordinateur est-il contaminé? Comment arrêter
ça?
-> FAQ
: une alerte m'indique qu'un virus a été trouvé dans un message
que j'ai envoyé. Mon ordinateur est-il infecté?
-> FAQ : comment
désinfecter le répertoire C:\RESTORE?
-> FAQ
: que faire dans le cas d'un fichier "uncleanable"
(non nettoyable)?
-> FAQ
: comment supprimer un fichier en cours d'utilisation?
-> FAQ
: qu'est-ce que le partage de fichiers et comment y mettre
fin?
-> Dossier
Secuser.com sur les virus
|