Bobax.Z est un virus qui se propage par courriel
et par le réseau. Il se présente sous la forme
d'un message en anglais dont le titre et le corps sont variables,
accompagné d'un fichier joint dont l'extension est .exe,
.pif, .scr ou .zip (31 Ko), mais peut aussi infecter automatiquement
un ordinateur non à jour dans ses correctifs lors de
sa connexion à Internet en exploitant une faille connue
de Windows. Si ce fichier est exécuté, il tente
de télécharger et d'exécuter le virus proprement
dit depuis une liste de sites web distants. Ce dernier s'envoie
alors par courriel aux adresses figurant dans le carnet d'adresses
Windows et divers autres fichiers, modifie le système
pour empêcher la connexion aux sites de Microsoft et des
principaux éditeurs d'antivirus, puis balaie le réseau
à la recherche de machines vulnérables.
|
PREVENTION :
Les utilisateurs concernés doivent mettre
à jour leur antivirus. En cas de doute, les utilisateurs
de Windows NT, 2000, XP et 2003 doivent également
mettre à jour leur système via le site
de Microsoft ou le service WindowsUpdate
afin de corriger la faille LSASS exploitée par
le virus pour s'exécuter automatiquement.
DESINFECTION :
Avant de commencer la désinfection, il est impératif
de s'assurer avoir appliqué les mesures préventives
ci-dessus afin d'empêcher toute réinfection
de l'ordinateur par le virus. Les utilisateurs ne disposant
pas d'un antivirus peuvent utiliser gratuitement l'utilitaire
de désinfection FixBobax pour rechercher
et éliminer le virus.
|
TYPE :
Ver
SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003
ALIAS :
Download.BBX (Symantec)
W32.Bobax.Z (Symantec)
Downloader-ABL (Mc Afee)
W32/Bobax.worm.o (Mc Afee)
Trj/Downloader.CZR (Panda Software)
W32/Bobax.AO.worm (Panda Software)
TROJ_SMALL.AHE (Trend Micro)
WORM_BOBAX.P (Trend Micro)
dropper.small.22.aw
TAILLE :
31.232 octets
DECOUVERTE :
03/06/2004
DESCRIPTION DETAILLEE :
Bobax.Z se présente sous la forme d'un message
en anglais dont le titre et le corps sont aléatoires
Les titres de messages :
- Cool
- pics
- funny
- bush
- joke
- secret
- [vide]
Le corps du message est variable :
- Saddam Hussein - Attempted Escape, Shot dead Attached
some pics that i found
- Osama Bin Laden Captured. Attached some pics that i found
- Testing
- Secret!
- Hey, Remember this?
- Hello, Long time! Check this out!
- Hey, I was going through my album, and look what I found..
- Hey, Check this out :-)
La pièce jointe possède une extension .EXE,
.PIF, .SCR ou .ZIP (31 Ko) et un nom variable :
- bush
- funny
- joke
- pics
- secret
Ce fichier est un troyen téléchargeur de fichier
(downloader trojan). S'il est exécuté, il tente
de télécharger et d'exécuter le virus
proprement dit depuis une liste de sites web distants. Ce
dernier s'envoie alors par courriel le virus se copie sur
le disque dur sous un nom aléatoire modifie la base
de registres pour s'exécuter à chaque démarrage
de l'ordinateur, s'envoie aux adresses figurant dans le carnet
d'adresses Windows et divers autres fichiers en évitant
certains destinataires et en utilisant une adresse d'expéditeur
falsifiée, modifie le fichier Hosts de Windows pour
empêcher l'utilisateur d'accéder aux sites web
de Microsoft et des principaux éditeurs d'antivirus,
puis balaie le réseau à la recherche de machines vulnérables
à infecter.
INFORMATIONS COMPLEMENTAIRES :
-> Abonnement gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
-> Identifier
les fausses alertes virus avec Hoaxkiller.fr
-> FAQ
: des dizaines de messages infectés envahissent ma boîte aux
lettres. Mon ordinateur est-il contaminé? Comment arrêter
ça?
-> FAQ
: une alerte m'indique qu'un virus a été trouvé dans un message
que j'ai envoyé. Mon ordinateur est-il infecté?
-> FAQ : comment
désinfecter le répertoire C:\RESTORE?
-> FAQ
: que faire dans le cas d'un fichier "uncleanable"
(non nettoyable)?
-> FAQ
: comment supprimer un fichier en cours d'utilisation?
-> FAQ
: qu'est-ce que le partage de fichiers et comment y mettre
fin?
-> Dossier
Secuser.com sur les virus
|
