Bagle.GN est un virus qui se propage par courrier
électronique. Il se présente sous la forme d'un court
message en anglais accompagné d'une image et d'un fichier .ZIP,
dont l'accès est protégé par un mot de passe
indiqué dans le corps du message. Si le fichier est exécuté,
le virus s'envoie aux adresses récoltées sur l'ordinateur,
tente de télécharger et d'exécuter un fichier
puis désactive les principaux antivirus et logiciels de sécurité.
PREVENTION :
Les utilisateurs concernés doivent mettre à jour
leur antivirus. D'une manière générale, même si son
nom est intriguant ou attrayant il ne faut pas exécuter
un fichier joint douteux sans avoir fait confirmer son
envoi par l'expéditeur puis l'avoir analysé avec un
antivirus à jour.
DESINFECTION :
Avant de commencer la désinfection, il est impératif
de s'assurer avoir appliqué les mesures préventives
ci-dessus afin d'empêcher toute réinfection de
l'ordinateur. Les
utilisateurs ne disposant pas d'un antivirus peuvent utiliser
l'antivirus gratuit en
ligne pour rechercher et éliminer le virus.
|
TYPE :
Ver
SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003
ALIAS :
Worm/Bagle.GN (Antivir)
I-Worm/Bagle.OA (AVG)
Win32.Bagle.GN@mm (Bit Defender)
Trojan.Bagle.BN (Clam)
W32/Mitglieder (F-Prot)
Email-Worm.Win32.Bagle.gn (Kaspersky)
W32/Bagle.fe@MM (Mc Afee)
Win32/Bagle.HA (NOD32)
W32/Bagle-PS (Sophos)
W32.Beagle.FN@mm (Symantec)
TAILLE :
220 Ko
DECOUVERTE :
10/06/2006
DESCRIPTION DETAILLEE :
Le virus Bagle.GN se présente sous la forme d'un courrier
électronique dont le titre, le corps et le nom du fichier
joint sont variables. Les titres de message :
- Is delivered mail
- Registration is accepted
- You are made active
- Delivery by mail
- Delivery service mail
Le corps du message est un court texte en anglais accompagné
d'un mot de passe sous la forme d'une image (ce dernier permet d'accéder
aux fichiers contenus dans l'archive .ZIP jointe) :
- Thanks for use of our software.
Password -- [nombre à 5 chiffres]
- Before use read the help
Password: [nombre à 5 chiffres]
- Before use read the help
Zip password: [nombre à 5 chiffres]
- Thanks for use of our software.
The password is [nombre à 5 chiffres]
- Before use read the help
Password -- [nombre à 5 chiffres]
- Before use read the help
Password is [nombre à 5 chiffres]
- Before use read the help
Use password [nombre à 5 chiffres] to open archive.
- Thanks for use of our software.
Zip archive password: [nombre à 5 chiffres]
La pièce jointe est un fichier .ZIP possédant un
nom aléatoire (220 Ko), dont l'accès est protégé
par un mot de passe (empêchant les passerelles antivirus d'en
analyser le contenu). Quelques exemples :
- siupd02.zip
- viupd02.zip
- wsd01.zip
- viupd02.zip
- Jol03.zip
- guupd02.zip
- zupd02.zip
Ce fichier archive en .ZIP contient un fichier .DLL ainsi qu'un
fichier .EXE. Si ce dernier est exécuté, le virus
se copie dans le dossier Application Data du profil de l'utilisateur
sous les noms hidn.exe et hldrrr.exe, y copie également un
rootkit m_hook.sys (Hacktool.Rootkit) pour tenter d'éviter
d'être détecté par les antivirus, modifie la
base de registres pour s'exécuter à chaque démarrage
de l'ordinateur, puis s'envoie automatiquement aux adresses figurant
dans le carnet d'adresses Windows et divers fichiers via son propre
moteur SMTP. Le virus tente ensuite de télécharger
et d'exécuter un fichier depuis une liste de sites web distants,
de désactiver les logiciels de sécurité les
plus populaires, puis il provoque l'affichage d'un faux message
d'erreur ("Error").
INFORMATIONS COMPLEMENTAIRES :
-> Abonnement
gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
-> Identifier
les fausses alertes virus avec Hoaxkiller.fr
-> FAQ
: des dizaines de messages infectés envahissent ma boîte aux
lettres. Mon ordinateur est-il contaminé? Comment arrêter
ça?
-> FAQ
: une alerte m'indique qu'un virus a été trouvé dans un message
que j'ai envoyé. Mon ordinateur est-il infecté?
-> FAQ : comment
désinfecter le répertoire C:\RESTORE?
-> FAQ
: que faire dans le cas d'un fichier "uncleanable"
(non nettoyable)?
-> FAQ
: comment supprimer un fichier en cours d'utilisation?
-> FAQ
: qu'est-ce que le partage de fichiers et comment y mettre
fin?
-> Dossier
Secuser.com sur les virus
|