Bagle.FJ est un virus qui se propage par courriel
et via les réseaux P2P. Il se présente sous la
forme d'un message dont le titre et le corps sont variables,
accompagné d'un fichier avec une extension .ZIP (20 Ko),
en tentant de se faire passer pour une liste de prix ("price").
Si ce fichier est exécuté, le virus s'envoie aux
adresses récoltées sur l'ordinateur, tente de
se copier dans certains dossiers partagés, désactive
les principaux antivirus et pare-feux personnels, tente de télécharger
et d'exécuter un fichier depuis une liste de sites web
distants, puis modifie le système pour empêcher
la connexion aux sites de Microsoft et des principaux éditeurs
d'antivirus.
|
PREVENTION :
Les utilisateurs concernés doivent mettre à jour
leur antivirus. D'une manière générale, même si son
nom est intriguant ou attrayant il ne faut pas exécuter
un fichier joint douteux sans avoir fait confirmer son
envoi par l'expéditeur puis l'avoir analysé avec un
antivirus à jour.
DESINFECTION :
Avant de commencer la désinfection, il est impératif
de s'assurer avoir appliqué les mesures préventives
ci-dessus afin d'empêcher toute réinfection
de l'ordinateur par le virus. Les
utilisateurs ne disposant pas d'un antivirus peuvent
utiliser gratuitement l'antivirus
gratuit en ligne pour rechercher et éliminer
le virus.
|
TYPE :
Ver
SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003
ALIAS :
Worm/Bagle.FI (Antivir)
Win32:Beagle-HZ (Avast)
I-Worm/Bagle (AVG)
Win32.Worm.Bagle.FJ (Bit Defender)
Win32/Bagle.DR (CA)
Worm.Bagle.CP (Clam)
W32/Bagle.DW@mm (F-Prot)
W32/Bagle.DW@mm (F-Secure)
Email-Worm.Win32.Bagle.fj (Kaspersky)
W32/Bagle.dp@MM (Mc Afee)
Win32/Bagle.FA (NOD32)
W32/Bagle.GS.worm (Panda)
Troj/BagleDl-BK (Sophos)
W32.Beagle.DL@mm (Symantec)
WORM_BAGLE.CL (Trend Micro)
TAILLE :
environ 20 Ko
DECOUVERTE :
02/02/2006
DESCRIPTION DETAILLEE :
Le virus Bagle.FJ se présente sous la forme d'un message
dont le titre, le corps et le nom du fichier joint sont variables.
Les titres de message :
Le corps du message est également un court texte en
anglais :
La pièce jointe est généralement un
fichier possédant un nom aléatoire et une extension
.ZIP (de 19 à 21 Ko), tentant de se faire passer pour
une liste de prix :
- price.zip
- pricelst.zip
- pricelist.zip
- price_lst.zip
- new_price.zip
- February price.zip
- February_price.zip
- 21_price.zip
Ce fichier archive en .ZIP contient un fichier sans extension
et un fichier exécutable en .EXE. Si ce fichier est
exécuté, le virus se copie dans le répertoire
système de Windows sous le nom sysformat.exe, modifie
la base de registres pour s'exécuter automatiquement
à chaque démarrage de l'ordinateur, s'envoie
automatiquement aux adresses figurant dans le carnet d'adresses
Windows et divers fichiers, puis tente de se copier dans les
dossiers dont le nom contient l'expression "shar"
(supposés partagés) sous divers noms intrigants
ou aguicheurs :
- 1.exe
- 2.exe
- 3.exe
- 4.exe
- 5.scr
- 6.exe
- 7.exe
- 8.exe
- 9.exe
- 10.exe
- Ahead Nero 7.exe
- Windown Longhorn Beta Leak.exe
- Opera 8 New!.exe
- XXX hardcore images.exe
- WinAmp 6 New!.exe
- WinAmp 5 Pro Keygen Crack Update.exe
- Adobe Photoshop 9 full.exe
- Matrix 3 Revolution English Subtitles.exe
- ACDSee 9.exe
Le virus tente ensuite de désactives les principaux
antivirus et pare-feux personnels, de télécharger
et d'exécuter un fichier depuis une liste de sites
web distants, puis il modifie le système pour empêcher
la connexion aux sites de Microsoft et des principaux éditeurs
d'antivirus pour empêcher les mises à jour logicielles.
INFORMATIONS COMPLEMENTAIRES :
-> Abonnement
gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
-> Identifier
les fausses alertes virus avec Hoaxkiller.fr
-> FAQ
: des dizaines de messages infectés envahissent ma boîte aux
lettres. Mon ordinateur est-il contaminé? Comment arrêter
ça?
-> FAQ
: une alerte m'indique qu'un virus a été trouvé dans un message
que j'ai envoyé. Mon ordinateur est-il infecté?
-> FAQ : comment
désinfecter le répertoire C:\RESTORE?
-> FAQ
: que faire dans le cas d'un fichier "uncleanable"
(non nettoyable)?
-> FAQ
: comment supprimer un fichier en cours d'utilisation?
-> FAQ
: qu'est-ce que le partage de fichiers et comment y mettre
fin?
-> Dossier
Secuser.com sur les virus
|
