Bofra.A est un virus qui se propage par courriel.
Il se présente sous la forme d'un message en anglais
sans fichier joint contenant un lien hypertexte prétendant
renvoyer notamment vers un site personnel ou vers une vidéo
pour adultes. Si l'utilisateur clique sur ce lien, il est en
fait redirigé vers une page web piégée
qui provoque l'installation automatique du virus sur son ordinateur
si son navigateur est Microsoft Internet Explorer (excepté
sous Windows XP SP2) en exploitant la faille IFRAME récemment
rendue publique et non encore corrigée. Le virus envoie
alors un message contenant un lien vers une nouvelle page piégée
aux adresses trouvées sur l'ordinateur infecté.
PREVENTION :
Les utilisateurs concernés doivent mettre
à jour leur antivirus. Les utilisateurs de Windows
XP doivent installer
le correctif Service Pack 2 et les utilisateurs
du navigateur Internet Explorer prendre
des mesures préventives pour limiter les
risques d'exploitation de la faille utilisée
par le virus pour s'exécuter automatiquement.
DESINFECTION :
Avant de commencer la désinfection, il est impératif
de s'assurer avoir appliqué les mesures préventives
ci-dessus afin d'empêcher toute réinfection
de l'ordinateur par le virus. Les utilisateurs ne disposant
pas d'un antivirus peuvent utiliser gratuitement l'utilitaire
de désinfection FixBofra pour rechercher
et éliminer le virus.
|
TYPE :
Ver
SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003
ALIAS :
Win32.Bofra.B (Computer Associates)
Bofra.A (F-Secure)
I-Worm.Bofra.a (Kaspersky)
W32/Mydoom.ag@MM (Mc Afee)
W32/Bofra.C.worm (Panda Software)
W32/Bofra-A (Sophos)
W32.Mydoom.AI@mm (Symantec)
W32.Bofra.A@mm (Symantec)
WORM_MYDOOM.AG (Trend Micro)
WORM_BOFRA.A (Trend Micro)
TAILLE :
20.751 octets
DECOUVERTE :
08/11/04
DESCRIPTION DETAILLEE :
Bofra.A est un virus qui se propage par courriel. Il
se présente sous la forme d'un message en anglais et
sans fichier attaché, dont le titre est :
- funny photos :)
- hello
- hey!
- [vide]
- [caractères aléatoires]
Le corps du message est :
Si l'utilisateur clique sur le lien contenu dans ce message,
il est redirigé vers une page web piégée
installée sur l'ordinateur infecté à
l'origine de l'envoi du message qui provoque l'installation
automatique du virus sur son ordinateur si son navigateur
est Microsoft Internet Explorer (excepté sous Windows
XP SP2) en exploitant la vulnérabilité
IFRAME récemment rendue publique sans concertation
avec l'éditeur et pour laquelle il n'existe par encore
de correctif.
La consultation de la page web piégée (http://[adresse
IP]:1639/index.htm) provoque le téléchargement
d'un fichier W.DAT sur le Bureau Windows de l'utilisateur
infecté puis son exécution, l'installation du
virus dans le répertoire System de Windows sous le
nom 32.EXE et la modification de la base de registres afin
qu'il soit exécuté à chaque démarrage
de l'ordinateur. Le virus installe un serveur web rudimentaire,
ouvre le port 1639 et envoie à son tour un message
contenant un lien vers une page piégée située
sur l'ordinateur nouvellement contaminé aux adresses
trouvées sur son disque dur, avec son propre moteur
SMTP et en utilisant une adresse d'expéditeur falsifiée.
La propagation de ce virus reste pour l'instant limitée
mais les utilisateurs d'Internet Explorer doivent se montrer
particulièrement vigilants en attendant la disponibilité
d'un correctif officiel pour la faille IFRAME. D'autres virus
pourraient être amenés à exploiter cette
faille non encore corrigée.
09/11/04 : une variante mineure
Bofra.B (également nommée I-Worm.Bofra.b,
Mydoom.AH, W32.Mydoom.AH@mm, WORM_MYDOOM.AH ou W32/Bofra-B)
a été identifiée. Elle est fonctionnellement
identique à Bofra.A, mais diffère par la taille
du virus (21.508 octets), les titres possibles ("hi!",
"hey!", "Confirmation", [vide]) et le
corps du message :
- Congratulations!
PayPal has successfully charged $175 to your credit card.
Your order tracking number is A866DEC0, and your item will
be shipped within three business days.
To see details please click this link
.
DO NOT REPLY TO THIS MESSAGE VIA EMAIL! This email is being
sent by an automated message system and the reply will not
be received.
Thank you for using PayPal.
[l'expéditeur est souvent dans ce cas exchange-robot@paypal.com]
- Hi!
I am looking for new friends. My name is Jane, I am from
Miami, FL.
See my homepage with my weblog and last
webcam photos!
See you!
- Hi!
I am looking for new friends. I am from Miami, FL. You can
see my homepage with my last webcam photos!
INFORMATIONS COMPLEMENTAIRES :
-> Abonnement
gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
-> Identifier
les fausses alertes virus avec Hoaxkiller.fr
-> FAQ
: des dizaines de messages infectés envahissent ma boîte aux
lettres. Mon ordinateur est-il contaminé? Comment arrêter
ça?
-> FAQ
: une alerte m'indique qu'un virus a été trouvé dans un message
que j'ai envoyé. Mon ordinateur est-il infecté?
-> FAQ : comment
désinfecter le répertoire C:\RESTORE?
-> FAQ
: que faire dans le cas d'un fichier "uncleanable"
(non nettoyable)?
-> FAQ
: comment supprimer un fichier en cours d'utilisation?
-> FAQ
: qu'est-ce que le partage de fichiers et comment y mettre
fin?
-> Dossier
Secuser.com sur les virus
|