Agent.BRK est un programme malicieux de type cheval
de Troie. Il se présente sous la forme d'un courrier électronique
accompagné d'un fichier joint dont l'extension est .ZIP, en
tentant de se faire passer pour un jeu Flash pornographique
ou des photos dénudées avec Milla
Jovovich, Lara Croft, Angelina
Jolie ou Carrie Ann Moss.
PREVENTION :
Les utilisateurs concernés doivent mettre à
jour leur antivirus. D'une manière générale,
même si son nom est intrigant ou attrayant il ne faut pas
exécuter un fichier joint douteux sans avoir fait confirmer
son envoi par l'expéditeur présumé du message
puis l'avoir analysé avec au moins un antivirus à jour.
DESINFECTION :
Avant de commencer la désinfection, il est impératif
de s'assurer avoir appliqué les mesures préventives
ci-dessus pour éviter une réinfection. Les
utilisateurs peuvent utiliser un antirootkit
et l'antivirus gratuit
en ligne pour supprimer Agent.BRK et ses variantes.
|
|
TYPE :
Troyen
SYSTEME(S) CONCERNE(S) :
Windows
ALIAS :
DR/Dldr.Agent.brk.1 (Antivir)
Win32:Agent-JPK (Avast)
Downloader.Agent.NZZ (AVG)
Trojan.Downloader.Agent.YJF (BitDefender)
Trojan.Downloader-11827 (ClamAV)
Trojan.MulDrop.7173 (Dr.Web)
Win32/Cutwail.S (eTrust)
W32/Downldr2.AOUA (F-Prot)
Trojan-Downloader.Win32.Agent.brk (F-Secure)
Trojan-Downloader.Win32.Agent.brk (Kaspersky)
Spy-Agent.bv.dldr (McAfee)
TrojanDownloader:Win32/Agent!B97B (Microsoft)
TrojanDownloader.Agent.NPW (NOD32)
W32/Agent.BXBD (Norman)
Trj/Downloader.MDW (Panda)
Troj/Agent-FZA (Sophos)
Trojan.Pandex (Symantec)
TAILLE :
19Ko
DECOUVERTE :
25/07/2007
DESCRIPTION DETAILLEE :
Agent.BRK est un programme malicieux de type cheval de Troie,
c'est-à-dire un programme hostile incapable de se multiplier et
de se propager par lui-même contrairement aux virus. Il peut cependant
arriver en pièce jointe d'un courrier électronique
car son auteur utilise la technique du spamming
pour le diffuser.
Le cheval de Troie se présente sous la forme d'un courrier électronique
en anglais dont le titre et l'expéditeur sont variables.
Quelques titres de message :
- Life is good!
- Double energy
- Action for pleasure
- Life is beautiful!
- Paradice in your bed
- View this price
- Return sunrise to your life!
- You can be young again!
- Paradice in your bed
Le corps du message est personnalisé de façon aléatoire,
et tente de faire passer le fichier attaché pour un jeu en
Flash à caractère pornographique, mettant en scène
l'actrice Milla Jovovich :
[Good Day/Hello], [buddy/man]!
Did you see this game? Funny flash game with nude Milla
Jovovich. She sucks and... fucks! Enjoy! The game in your
attachment.
[Best Regards/Regards]. |
|
La pièce jointe est une archive nommée funny.zip,
dont la taille est 19 Ko, qui contient un fichier funny.exe. Si
ce fichier est exécuté, le cheval de Troie installe
un rootkit et tente de télécharger d'autres programmes
malicieux.
27/07/07
: diffusion d'une variante mineure du cheval de Troie (19 Ko) selon
un scénario similaire, mettant cette fois en scène
Lara Croft. Le titre du message est "Just for you", le
fichier joint fungame.zip (contenant un fichier fungame.exe qui
est le virus) et le corps du message :
Good evening, buddy!
Did you see this game? Funny flash game with nude Lara
Croft. She sucks and...
fucks! Enjoy! The game in your attachment.
Good Bye. |
|
Cette variante est détectée sous les noms Worm/Nuj.A.124
(Antivir), Win32:Agent-JSL (Avast), Downloader.Agent.OGE (AVG),
Trojan.Kobcka.A (BitDefender), Trojan.Downloader-12017 (ClamAV),
BackDoor.Bulknet (Dr.Web), W32/Downldr2.AOUA (F-Prot), Trojan-Downloader.Win32.Agent.brk
(F-Secure), Trojan-Downloader.Win32.Agent.brk (Kasperky), Worm:Win32/Nuwar.JU
(Microsoft), Win32/TrojanDownloader.Agent.BRK (NOD32), Trojan.Pandex
(Symantec).
03/08/07
: diffusion d'une nouvelle variante du cheval de Troie (19 Ko),
faisant à nouveau intervenir Milla Jovovich mais pour de
simples photos dénudées. Le titre du message est "Pictures",
le fichier joint amazing.zip (contenant un fichier shocking.exe
qui est le virus) et le corps du message :
Hi, buddy!
Amazing pictures of nude Milla Jovovich. See it in your
attachment.
Bye. |
|
Si le fichier shocking.exe est exécuté, le cheval
de Troie se copie dans le répertoire Système sous
le chemin \drivers\runtime.sys, modifie la base de registres pour
s'exécuter à chaque démarrage de l'ordinateur,
puis tente de télécharger et d'exécuter d'autres
programmes malicieux. Cette variante est détectée
sous les noms Worm/Ntech.A (Antivir), Win32:Small-HKS (Avast), SHeur.EHK
(AVG), Trojan.Dropper.Rootkit.I (BitDefender), Trojan.Downloader-12155
(ClamAV), Trojan.DownLoader.29243 (Dr.Web), Win32/Cutwail!generic
(eTrust), W32/Downldr2.AOUA (F-Prot), Trojan-Downloader.Win32.Agent.brk
(F-Secure), Trojan-Downloader.Win32.Diehard.gen (Kasperky), Spy-Agent.bv.dldr
(McAfee), TrojanDropper:Win32/Agent.AL (Microsoft), Win32/TrojanDownloader.Agent.NQG
(NOD32), W32/Agent.BXTH (Norman), Troj/Dloadr-BCP (Sophos), Downloader
(Symantec).
08/08/07
: diffusion d'une nouvelle variante du cheval de Troie (19 Ko),
tentant cette fois de se faire passer pour un jeu pornographique
mettant en scène Angelina Jolie ou Carrie Ann Moss. Quelques
titres de message :
- Hot game
- Here is it
- Hot pictures
- Something hot
Le corps du message est toujours un texte court en anglais incitant
à ouvrir le fichier joint :
Good Day, man!
Funny game. Angelina Jolie fucks Dart Wader... In your
attachemnt.
Best Regards. |
|
Good afternoon, man!
Funny game. Carrie Ann Moss fucks Harry Potter... In your
attachemnt.
Good Bye. |
|
Le fichier joint game.zip contient un fichier Game.exe. Si ce fichier
est exécuté, le cheval de Troie s'installe en se dissimulant
via une technologie de type rootkit, modifie la base de registres
pour s'exécuter à chaque démarrage de l'ordinateur,
puis tente de télécharger et d'exécuter d'autres
programmes malicieux. Cette variante est détectée
sous les noms Worm/Ntech.C (Antivir), Win32:Agent-JXL (Avast), Downloader.Small.AAN
(AVG), Trojan.Dropper.RIE (BitDefender), Trojan.Downloader-12263
(ClamAV), Trojan.DownLoader.29657 (Dr.Web), Win32.Agent.brk (eSafe),
W32/Downldr2.AOUA (F-Prot), Trojan-Downloader.Win32.Agent.brk (F-Secure/Kaspersky),
Spy-Agent.bg (Mc Afee), TrojanDownloader:Win32/Agent!F581 (Microsoft),
Win32/TrojanDownloader.Agent.BRK (NOD32), W32/Agent.BYFK (Norman),
Trj/Spammer.ADK (Panda, Mal/Dropper-L (Sophos)), Trojan.Pandex (Symantec).
INFORMATIONS COMPLEMENTAIRES :
-> Abonnement
gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
-> Identifier
les fausses alertes virus avec Hoaxkiller.fr
-> FAQ : des
dizaines de messages infectés envahissent ma boîte aux lettres.
Mon ordinateur est-il contaminé? Comment arrêter ça?
-> FAQ :
une alerte m'indique qu'un virus a été trouvé dans un message que
j'ai envoyé. Mon ordinateur est-il infecté?
-> FAQ : comment
désinfecter le répertoire C:\RESTORE?
-> FAQ : que
faire dans le cas d'un fichier "uncleanable" (non nettoyable)?
-> FAQ : comment
supprimer un fichier en cours d'utilisation?
-> FAQ
: qu'est-ce que le partage de fichiers et comment y mettre fin?
-> Dossier Secuser.com
sur les virus
|