Bagle.GS est un virus qui se propage par courrier
électronique. Il se présente sous la forme d'un message
en anglais accompagné d'un fichier avec une extension .ZIP
dont l'accès est protégé par un mot de passe,
en tentant de se faire passer pour une liste de prix. Si ce fichier
est exécuté, le virus s'envoie aux adresses récoltées
sur l'ordinateur, puis tente d'effectuer diverses actions destinées
à abaisser ou compromettre la sécurité de l'ordinateur.
PREVENTION :
Les utilisateurs concernés doivent mettre à jour
leur antivirus. D'une manière générale, même si son
nom est intriguant ou attrayant il ne faut pas exécuter
un fichier joint douteux sans avoir fait confirmer son
envoi par l'expéditeur puis l'avoir analysé avec un
antivirus à jour.
DESINFECTION :
Avant de commencer la désinfection, il est impératif
de s'assurer avoir appliqué les mesures préventives
ci-dessus afin d'empêcher toute réinfection
de l'ordinateur par le virus. Les
utilisateurs ne disposant pas d'un antivirus peuvent
utiliser gratuitement l'antivirus
gratuit en ligne pour rechercher et éliminer
le virus.
|
TYPE :
Ver
SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003
ALIAS :
Trojan/Bagle.Gen.B (Antivir)
Win32:Beagle-NH (Avast)
I-Worm/Bagle.OH (AVG)
Win32.Bagle.GU@mm (Bit Defender)
Worm.Bagle.CQ-2 (Clam)
W32/Mitglieder.UX (F-Prot)
Email-Worm.Win32.Bagle.gs (F-Secure)
Email-Worm.Win32.Bagle.gs (Kaspersky)
New Malware.b (Mc Afee)
variant of Win32/Bagle (NOD32)
W32/Bagle.KR.worm (Panda)
W32/Bagle-QT (Sophos)
WORM_BAGLE.GS (Trend Micro)
Win32/Fantibag.O
Trojan.Lodav.C
TAILLE :
58 Ko
DECOUVERTE :
01/12/2006
DESCRIPTION DETAILLEE :
Le virus Bagle.GS se présente sous la forme d'un message
dont le titre, le corps et le nom du fichier joint sont variables.
Les titres de message sont personnalisés en fonction de la
date du jour :
|
price [date du jour]
price[date du jour]
price_ [date du jour]
new [date du jour]
|
exemple : "price 01-Dec-2006"
exemple : "price02-Dec-2006"
exemple : "price_ 02-Dec-2006"
exemple : "new 02-Dec-2006 |
Le corps du message est également un court texte en anglais
accompagné d'un mot de passe sous la forme d'une image (ce
dernier permet d'accéder aux fichiers contenus dans l'archive
.ZIP jointe) :
- It Is Protected
Passwrd: [nombre à 6 chiffres]
- New year's discounts
Passwrd: [nombre à 6 chiffres]
- thank you !!!
Passwrd: [nombre à 6 chiffres]
La pièce jointe est un fichier de 58 Ko possédant
un nom variable et une extension .ZIP, dont l'accès est protégé
par un mot de passe (empêchant les passerelles antivirus d'en
analyser le contenu) :
|
price_list[date du jour].zip
price[date du jour].zip
new_price[date du jour].zip
|
exemple : price_list01-Dec-2006.zip
exemple : price02-Dec-2006.zip
exemple : new_price02-Dec-2006.zip
|
Ce fichier archive en .ZIP contient notamment un fichier .EXE dont
le nom est aléatoire. Si ce fichier est exécuté,
le virus se copie dans le dossier Windows sous les noms WINLOG.EXE
et WINLOG.DLL, modifie la base de registres pour s'exécuter
à chaque démarrage de l'ordinateur, puis s'envoie
automatiquement aux adresses figurant dans le carnet d'adresses
Windows et divers fichiers via son propre moteur SMTP en usurpant
l'identité de certains contacts. Le virus tente ensuite de
désactiver les antivirus et utilitaires sécurité
les plus répandus, de télécharger et d'exécuter
un fichier depuis une liste de sites web distants, puis de modifier
le système pour interdire la connexion aux sites de Microsoft
et des principaux éditeurs d'antivirus afin empêcher
les mises à jour logicielles.
INFORMATIONS COMPLEMENTAIRES :
-> Abonnement
gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
-> Identifier
les fausses alertes virus avec Hoaxkiller.fr
-> FAQ
: des dizaines de messages infectés envahissent ma boîte aux
lettres. Mon ordinateur est-il contaminé? Comment arrêter
ça?
-> FAQ
: une alerte m'indique qu'un virus a été trouvé dans un message
que j'ai envoyé. Mon ordinateur est-il infecté?
-> FAQ : comment
désinfecter le répertoire C:\RESTORE?
-> FAQ
: que faire dans le cas d'un fichier "uncleanable"
(non nettoyable)?
-> FAQ
: comment supprimer un fichier en cours d'utilisation?
-> FAQ
: qu'est-ce que le partage de fichiers et comment y mettre
fin?
-> Dossier
Secuser.com sur les virus
|