Bagle.FY est un virus qui se propage par courrier
électronique. Il se présente sous la forme d'un
message dont le titre est un prénom, accompagné
d'un fichier dont l'extension est .ZIP et dont l'accès
est protégé par un mot de passe indiqué
dans le corps du message, en tentant de se faire passer pour
une déclaration d'amour. Si ce fichier est exécuté,
le virus s'envoie aux adresses récoltées sur l'ordinateur,
tente de télécharger et d'exécuter un fichier
depuis une liste de sites web distants puis désactive
les principaux antivirus et logiciels de sécurité.
PREVENTION :
Les utilisateurs concernés doivent mettre à jour leur
antivirus. D'une manière générale, même si son nom est intriguant
ou attrayant il ne faut pas exécuter un fichier joint douteux
sans avoir fait confirmer son envoi par l'expéditeur puis
l'avoir analysé avec un antivirus à jour.
DESINFECTION :
Avant de commencer la désinfection, il est impératif
de s'assurer avoir appliqué les mesures préventives
ci-dessus pour éviter une réinfection. Les
utilisateurs ne disposant pas d'un antivirus peuvent utiliser
l'antivirus gratuit en
ligne pour supprimer Bagle.FY.
|
|
TYPE :
Ver
SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003
ALIAS :
Worm/Bagle.GK (Antivir)
I-Worm/Bagle (AVG)
Win32.Bagle.ET@mm (Bit Defender)
Trojan.Bagle.BN (Clam)
W32/Mitglieder (F-Prot)
W32/Bagle.FY@mm (F-Secure)
Email-Worm.Win32.Bagle.fy (Kaspersky)
W32/Bagle.fb@MM (Mc Afee)
Win32/Bagle.GM (NOD32)
W32/Bagle.JP.worm (Panda Software)
W32/Bagle-KL (Sophos)
W32.Beagle.FF@mm (Symantec)
WORM_BAGLE.FN (Trend Micro)
Worm.Bagle.pwd-eml
TAILLE :
Variable (46 à 60 Ko)
DECOUVERTE :
20/06/2006
DESCRIPTION DETAILLEE :
Le virus Bagle.FY se présente sous la forme d'un
courrier électronique dont le titre, le corps et le
nom du fichier joint sont variables. Les titres de message
:
- Ales
- Alice
- Alyce
- Alyce
- Andrew
- Androw
- Androwe
- Ann
- Anna
- Anne
- Annes
- Anthonie
- Anthony
- Anthonye
- Avice
- Avis
- Bennet
- Bennett
- Christean
- Christian
- Constance
- Cybil
- Daniel
- Danyell
- Dorithie
- Dorothee
- Dorothy
- Edmond
- Edmonde
- Edmund
- Edward
- Edwarde
- Elizabeth
- Elizabethe
- Ellen
- Ellyn
- Emanual
- Emanuell
- Ester
- Frances
- Francis
- Fraunces
- Gabriell
- Geoffraie
- George
- Grace
- Harry
- Harrye
- Henrie
- Henry
- Henrye
- Hughe
- Humphrey
- Humphrie
- I love you
- Isabel
- Isabell
- James
- Jane
- Jeames
- Jeffrey
- Jeffrye
- Joane
- Johen
- John
- Josias
- Judeth
- Judith
- Judithe
- Katherine
- Katheryne
- Leonard
- Leonarde
- Margaret
- Margarett
- Margerie
- Margerye
- Margret
- Margrett
- Marie
- Martha
- Mary
- Marye
- Michael
- Mychaell
- Nathaniel
- Nathaniell
- Nathanyell
- Nicholas
- Nicholaus
- Nycholas
- Peter
- Ralph
- Rebecka
- Richard
- Richarde
- Robert
- Roberte
- Roger
- Rose
- Rycharde
- Samuell
- Sara
- Sidney
- Sindony
- Stephen
- Susan
- Susanna
- Suzanna
- Sybyll
- Syndony
- Thomas
- To the beloved
- Valentyne
- William
- Winifred
- Wynefrede
- Wynefreed
- Wynnefreede
Le corps du message est un court texte en anglais accompagné
d'un mot de passe sous la forme d'une image (ce dernier permet
d'accéder aux fichiers contenus dans l'archive .ZIP
jointe) :
- I love you
Password is [nombre à 5 chiffres]
- I love you
Zip password: [nombre à 5 chiffres]
- To the beloved
Password [nombre à 5 chiffres]
- Password is [nombre à 5 chiffres]
- Zip password: [nombre à 5 chiffres]
La pièce jointe est un fichier .ZIP possédant
un nom aléatoire, de taille variable (46 à 60
Ko), dont l'accès est protégé par un
mot de passe (empêchant les passerelles antivirus d'en
analyser le contenu) :
- Ales.zip
- Alice.zip
- Alyce.zip
- Alyce.zip
- Andrew.zip
- Androw.zip
- Androwe.zip
- Ann.zip
- Anna.zip
- Anne.zip
- Annes.zip
- Anthonie.zip
- Anthony.zip
- Anthonye.zip
- Avice.zip
- Avis.zip
- Bennet.zip
- Bennett.zip
- Christean.zip
- Christian.zip
- Constance.zip
- Cybil.zip
- Daniel.zip
- Danyell.zip
- Dorithie.zip
- Dorothee.zip
- Dorothy.zip
- Edmond.zip
- Edmonde.zip
- Edmund.zip
- Edward.zip
- Edwarde.zip
- Elizabeth.zip
- Elizabethe.zip
- Ellen.zip
- Ellyn.zip
- Emanual.zip
- Emanuell.zip
- Ester.zip
- Frances.zip
- Francis.zip
- Fraunces.zip
- Gabriell.zip
- Geoffraie.zip
- George.zip
- Grace.zip
- Harry.zip
- Harrye.zip
- Henrie.zip
- Henry.zip
- Henrye.zip
- Hughe.zip
- Humphrey.zip
- Humphrie.zip
- I love you.zip
- Isabel.zip
- Isabell.zip
- James.zip
- Jane.zip
- Jeames.zip
- Jeffrey.zip
- Jeffrye.zip
- Joane.zip
- Johen.zip
- John.zip
- Josias.zip
- Judeth.zip
- Judith.zip
- Judithe.zip
- Katherine.zip
- Katheryne.zip
- Leonard.zip
- Leonarde.zip
- Margaret.zip
- Margarett.zip
- Margerie.zip
- Margerye.zip
- Margret.zip
- Margrett.zip
- Marie.zip
- Martha.zip
- Mary.zip
- Marye.zip
- Michael.zip
- Mychaell.zip
- Nathaniel.zip
- Nathaniell.zip
- Nathanyell.zip
- Nicholas.zip
- Nicholaus.zip
- Nycholas.zip
- Peter.zip
- Ralph.zip
- Rebecka.zip
- Richard.zip
- Richarde.zip
- Robert.zip
- Roberte.zip
- Rogerv
- Rose.zip
- Rycharde.zip
- Samuell.zip
- Sara.zip
- Sidneyv
- Sindony.zip
- Stephen.zip
- Susan.zip
- Susanna.zip
- Suzanna.zip
- Sybyll.zip
- Syndony.zip
- Thomas.zip
- To the beloved.zip
- Valentyne.zip
- William.zip
- Winifred.zip
- Wynefrede.zip
- Wynefreed.zip
- Wynnefreede.zip
Ce fichier archive en .ZIP contient un fichier en .DLL non
malicieux ainsi qu'un fichier en .EXE. Si ce fichier est exécuté,
le virus se copie dans le dossier Application Data du profil
de l'utilisateur sous le nom hidn.exe, y copie également
un rootkit m_hook.sys (Hacktool.Rootkit) pour tenter d'éviter
d'être détecté par les antivirus, modifie
la base de registres pour s'exécuter à chaque
démarrage de l'ordinateur, puis s'envoie automatiquement
aux adresses figurant dans le carnet d'adresses Windows et
divers fichiers via son propre moteur SMTP. Le virus tente
ensuite de télécharger et d'exécuter
un fichier depuis une liste de sites web distants, de désactiver
les logiciels de sécurité les plus populaires,
puis il provoque l'affichage d'un faux message d'erreur ("Error").
INFORMATIONS COMPLEMENTAIRES :
-> Abonnement
gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
-> Identifier
les fausses alertes virus avec Hoaxkiller.fr
-> FAQ
: des dizaines de messages infectés envahissent ma boîte aux
lettres. Mon ordinateur est-il contaminé? Comment arrêter
ça?
-> FAQ
: une alerte m'indique qu'un virus a été trouvé dans un message
que j'ai envoyé. Mon ordinateur est-il infecté?
-> FAQ : comment
désinfecter le répertoire C:\RESTORE?
-> FAQ
: que faire dans le cas d'un fichier "uncleanable"
(non nettoyable)?
-> FAQ
: comment supprimer un fichier en cours d'utilisation?
-> FAQ
: qu'est-ce que le partage de fichiers et comment y mettre
fin?
-> Dossier
Secuser.com sur les virus
|