Alertes VIRUS

Ce forum est consacré aux questions sur tous type de "BUGS" rencontrés sur nos chers PC: Virus, DirectX pas a jour, logiciels qui plantes, etc...

Modérateurs : TEAM THE C@TZ, MODERATEURS

Avatar du membre
totoland
Administrateur
Administrateur
Messages : 4939
Enregistré le : 26.11.2002 11:29
Localisation : Lost somewhere

Alertes VIRUS

Message par totoland » 18.02.2004 18:20

Plutôt que de créer un topic à chaque alertes, vous trouverez dans ce dernier toutes les dernières alertes de ver/virus

Catégorie de risque :
Image : Majeur
Image : Important
Image : Faible

Si vous souhaitez ajouter une alerte, merci de contacter un admin ou un modérateur de ce topic
Modifié en dernier par totoland le 26.02.2004 13:02, modifié 3 fois.
[align=center]"Quand une envie subite de travailler te prend. Allonges-toi et attends que ça passe"

Image[/align]

Avatar du membre
totoland
Administrateur
Administrateur
Messages : 4939
Enregistré le : 26.11.2002 11:29
Localisation : Lost somewhere

Alerte Virus DOOMJUICE - DeadHat (10/02/04)

Message par totoland » 18.02.2004 18:23

Doomjuice est un virus qui cible uniquement les ordinateurs infectés par le virus Mydoom.A/B.
Si la porte dérobée installée par ce dernier n'a pas été éliminée, Doomjuice l'utilise pour infecter l'ordinateur à l'insu de l'utilisateur puis scanne le réseau à la recherche de nouvelles machines vulnérables.
Il est par ailleurs programmé pour déposer le code source du virus Mydoom.A sur chaque ordinateur infecté et lancer une attaque contre le site Microsoft.com.

Ces nouveaux virus ne se propagent ni par e-mail ni via Kazaa (deadhat se propage via le réseau P2P SoulSeek), donc ne représente pas une menace pour les ordinateurs sains. Il reste néanmoins urgent pour les retardataires de procéder à l'éradication de Mydoom.A.



Liens en Anglais :
http://www.symantec.com/avcenter/venc/d ... juice.html
http://www.symantec.com/avcenter/venc/d ... adhat.html
Modifié en dernier par totoland le 26.02.2004 12:57, modifié 1 fois.
[align=center]"Quand une envie subite de travailler te prend. Allonges-toi et attends que ça passe"

Image[/align]

Avatar du membre
totoland
Administrateur
Administrateur
Messages : 4939
Enregistré le : 26.11.2002 11:29
Localisation : Lost somewhere

Bagle.B (17/02/04)

Message par totoland » 18.02.2004 18:25

Bagle.B est un virus qui se propage par email. Il se présente sous la forme d'un message dont le titre est "ID [lettres aléatoires]... thanks" et qui comporte un fichier joint dont le nom est aléatoire, avec une extension en .EXE. Si ce fichier est exécuté, le virus s'envoie aux adresses e-mail présentes dans le carnet d'adresses Windows ainsi que divers autres fichiers du disque dur, puis installe une porte dérobée permettant de prendre le contrôle à distance de l'ordinateur infecté.


Systèmes inpactés
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP


Parade :
Mettre à jour son anti-virus et ne surtout jamais ouvrir de pièces jointes de personnes que vous ne connaissez pas et/ou les pièces jointes qui ne vous parraissent pas clair ...
Modifié en dernier par totoland le 26.02.2004 12:57, modifié 1 fois.
[align=center]"Quand une envie subite de travailler te prend. Allonges-toi et attends que ça passe"

Image[/align]

Avatar du membre
totoland
Administrateur
Administrateur
Messages : 4939
Enregistré le : 26.11.2002 11:29
Localisation : Lost somewhere

WORM_NETSKY.B (18/02/04)

Message par totoland » 18.02.2004 18:26

Alerte virus :

Message aléatoirement généré possédant une pièce jointe de 22 ko. Tente de se propager par email et par tous les shares windows

Si vous executer ce fichier, il va créer un mutant en mémoire et peut généré un message disant que le fichier ne peut pas s'executer. Il se copie dans %WINDIR%\service.exe
Ajoute dans le registre de :
"service" = "%Windir%\services.exe -serv"
dans : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Supprime des entrées de registre comme taskmon et explorer et KaperskyAV

recherche des adresses email dans des fichiers et utilise les adresses trouvées pour se propager via son propre serveur SMTP interne.

Les messages générés peuvent avoir comme sujet :
hi
hello
read it immediately
something for you
warning
information
stolen
fake
unknown


et la pièce jointe :
document
msg
doc
talk
message
creditcard
details
attachment
me
stuff
posting
textfile
concert
information
note
bill
swimmingpool
product
topseller
ps
shower
aboutyou
nomoney
found
story
mails
website
friend
jokes
location
final
release
dinner
ranking
object
mail2
part2
disco
party
misc


avec différentes extensions ... mais l'extension est double !!! la deuxième extension étant :
.exe
.scr
.com
.pif


Crée 40 fichiers ZIP dans %WINDIR% du virus avec différents nom
[align=center]"Quand une envie subite de travailler te prend. Allonges-toi et attends que ça passe"

Image[/align]

Avatar du membre
totoland
Administrateur
Administrateur
Messages : 4939
Enregistré le : 26.11.2002 11:29
Localisation : Lost somewhere

MyDoom.F - 24/02/2004

Message par totoland » 24.02.2004 14:49

Mydoom.F est un virus qui se propage par email et via les dossiers partagés. Il se présente sous la forme d'un message dont le titre est aléatoire, avec un fichier joint (34 Ko) dont l'extension est .BAT, .CMD, .COM, .EXE, .PIF, .SCR ou .ZIP. Si ce fichier est exécuté, le virus s'envoie aux adresses figurant dans le carnet d'adresses Windows et divers autres fichiers, installe une porte dérobée autorisant le téléchargement et l'exécution de fichiers à l'insu de l'utilisateur, tente de désactiver certains antivirus et de supprimer certains fichiers en .AVI, .BMP, .DOC, .JPG, .MDB, .SAV et .XLS., puis selon la date lance une attaque contre les sites Microsoft.com et Riaa.com.

TYPE :
Ver

SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003

ALIAS :
Mydoom.F (F-Secure)
W32/Mydoom.f@MM (Mc Afee)
W32/MyDoom-F (Sophos)
W32.Mydoom.F@mm (Symantec)
WORM_MYDOOM.F (Trend Micro)



Le virus est enfin conçu pour lancer une attaque par déni de service contre les sites Microsoft.com ou Riaa.com lorsque la date du système est comprise entre le 17 et le 22 de chaque mois, jusqu'au 14 février 2006. Lors de la collecte des adresses email, il peut par ailleurs supprimer certains fichiers en .AVI, .BMP, .DOC, .JPG, .MDB, .SAV et .XLS., de manière aléatoire.
Modifié en dernier par totoland le 26.02.2004 12:58, modifié 1 fois.
[align=center]"Quand une envie subite de travailler te prend. Allonges-toi et attends que ça passe"

Image[/align]

Avatar du membre
totoland
Administrateur
Administrateur
Messages : 4939
Enregistré le : 26.11.2002 11:29
Localisation : Lost somewhere

Bizex (24/02/2004)

Message par totoland » 25.02.2004 10:19

Bizex est un virus qui cible les utilisateurs du logiciel de messagerie instantanée ICQ et se présente sous la forme d'un message qui les invite à visiter un site web"Jokeworld" piégé. Si le destinataire visite le site avec un navigateur Internet Explorer non à jour dans ses correctifs de sécurité, le virus infecte l'ordinateur à son insu, installe un troyen keylogger espionnant les frappes au clavier, puis tente de prendre le contrôle du logiciel ICQ afin d'envoyer un message à tous les contacts de la victime infectée pour les inviter à leur tour à visiter le site piégé. Ce dernier à toutefois été fermé.

TYPE :
Ver

SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003

ALIAS :
Worm.Win32.Bizex (KAV)
W32/Bizex.worm (Mc Afee)
W32/Bizex-A (Sophos)
W32.Bizex.Worm (Symantec)
Modifié en dernier par totoland le 26.02.2004 12:59, modifié 1 fois.
[align=center]"Quand une envie subite de travailler te prend. Allonges-toi et attends que ça passe"

Image[/align]

Avatar du membre
totoland
Administrateur
Administrateur
Messages : 4939
Enregistré le : 26.11.2002 11:29
Localisation : Lost somewhere

Netsky.C (26/02/2004)

Message par totoland » 26.02.2004 12:44

Netsky.C est un virus qui se propage par email et via les dossiers partagés. Il se présente sous la forme d'un message dont le titre et le corps sont aléatoires, avec un fichier joint (25 Ko) dont l'extension est .COM, .EXE, .PIF, .SCR ou .ZIP. Si ce dernier est exécuté, le virus s'envoie aux adresses présentes dans le carnet d'adresses Windows ainsi que divers autres fichiers du disque dur, puis tente le cas échéant de se propager via KaZaA et les dossiers mis en partage en s'y copiant sous divers noms aguicheurs.

TYPE :
Ver

SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003

ALIAS :
Moodown.C (F-Secure)
I-Worm.Moodown.c (Kaspersky)
W32/Netsky.c@MM (McAfee)
W32.Netsky.C@mm (Symantec)
WORM_NETSKY.C (Trend Micro)
Worm.Somefool


La pièce jointe possède un nom aléatoire et une extension en .COM, .SCR, .EXE, .PIF ou .ZIP. Quelques exemples :

* moonlight.zip
* object.zip
* mail2.zip
* party.com
* story.com
* release.rtf.exe
* me.zip
* release.zip
* nomoney.exe
* part2.zip
* document.zip
* final.exe
* location.zip
* creditcard.rtf.scr
* mail2.doc.com
* product.htm.exe
* incest.exe
* message.zip

Si le fichier joint est exécuté, le virus se copie dans le répertoire Windows sous le nom WINLOGON.EXE, modifie la base de registres afin d'être exécuté à chaque démarrage de l'ordinateur, puis s'envoie automatiquement aux contacts dont les adresses figurent dans le carnet d'adresses Windows ainsi que les fichiers .MSG, .OFT, .SHT, .DBX, .TBB, .ADB, .DOC, .ASP, .UIN, .RFT, .VBS, .HTML, .HTM, .PL, .PHP, .TXT, et .EML du disque dur, en utilisant comme adresse d'expéditeur une adresse usurpée ou falsifée.

Netsky.B tente également de désactiver les virus Mydoom.A, Mydoom.B et Mimail.T, ainsi que de se propager via les dossiers dont le nom comporte le mot "sharing" ou "share" (comme souvent KaZaa, Bearshare, etc.) en explorant les disques de C à Z et en s'y copiant sous divers noms aguicheurs :

* Microsoft WinXP Crack.exe
* Teen Porn 16.jpg.pif
* Adobe Premiere 9.exe
* Adobe Photoshop 9 full.exe
* Best Matrix Screensaver.scr
* Porno Screensaver.scr
* Dark Angels.pif
* XXX hardcore pic.jpg.exe
* Microsoft Office 2003 Crack.exe
* Serials.txt.exe
* Screensaver.scr
* Full album.mp3.pif
* Ahead Nero 7.exe
* Virii Sourcecode.scr
* E-Book Archive.rtf.exe
* Doom 3 Beta.exe
* How to hack.doc.exe
* Learn Programming.doc.exe
* WinXP eBook.doc.exe
* Win Longhorn Beta.exe
* Dictionary English - France.doc.exe
* RFC Basics Full Edition.doc.exe
* 1000 Sex and more.rtf.exe
* 3D Studio Max 3dsmax.exe
* Keygen 4 all appz.exe
* Windows Sourcecode.doc.exe
* Norton Antivirus 2004.exe
* Gimp 1.5 Full with Key.exe
* Partitionsmagic 9.0.exe
* Star Office 8.exe
* Magix Video Deluxe 4.exe
* Clone DVD 5.exe
* MS Service Pack 5.exe
* ACDSee 9.exe
* Visual Studio Net Crack.exe
* Cracks & Warez Archive.exe
* WinAmp 12 full.exe
* DivX 7.0 final.exe
* Opera.exe
* IE58.1 full setup.exe
* Smashing the stack.rtf.exe
* Ulead Keygen.exe
* Lightwave SE Update.exe
* The Sims 3 crack.exe
[align=center]"Quand une envie subite de travailler te prend. Allonges-toi et attends que ça passe"

Image[/align]

Avatar du membre
totoland
Administrateur
Administrateur
Messages : 4939
Enregistré le : 26.11.2002 11:29
Localisation : Lost somewhere

Bagle.C [E et F] (28/02/2004)

Message par totoland » 29.02.2004 20:06

Bagle.C est un virus qui se propage par email. Il se présente sous la forme d'un message dont le titre est aléatoire et dont le corps est vide, comportant un fichier joint (16 Ko) au nom aléatoire avec une extension en .ZIP. Si ce fichier est exécuté, le virus s'envoie aux adresses présentes dans le carnet d'adresses Windows ainsi que divers autres fichiers du disque dur, tente de désactiver certains antivirus et pare-feux personnels, puis installe une porte dérobée permettant la prise de contrôle à distance de l'ordinateur infecté.

TYPE :
Ver

SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003

ALIAS :
Bagle.C (F-Secure)
I-Worm.Bagle.c (Kaspersky)
W32/Bagle.c@MM (McAfee)
W32/Bagle-C (Sophos)
W32.Beagle.C@mm (Symantec)
WORM_BAGLE.C (Trend Micro)


TAILLE :
15.872 octets

Descriptif :
Le fichier joint possède un nom aléatoire avec une extension en .ZIP et contient un fichier exécutable en .EXE dont l'icône est souvent celle d'un fichier Microsoft Excel. Quelques exemples :

acdabd.zip
bbdadac.zip
daddabcdd.zip
abdb.zip

Si ce fichier est exécuté, le virus se copie dans le répertoire System sous le nom README.EXE ainsi que les fichiers ONDE.EXE, DOC.EXE et README.EXEOPEN, il lance le Notepad de Windows (notepad.exe) pour faire diversion, modifie la base de registres afin d'être exécuté à chaque démarrage de l'ordinateur, puis s'envoie automatiquement aux contacts dont les adresses figurent dans le carnet d'adresses Windows ainsi que les fichiers .ADB, .ASP, .CFG, .DBX, .EML, .HTM, .HTML, .MDX, .MMF, .NCH, .ODS, .PHP, .PL, .SHT et .TXT présents sur le disque dur (exceptées les adresses en @hotmail.com, @msn.com, @microsoft et @avp) avec une adresse d'expéditeur falsifiée. Cette adresse correspond le plus souvent à l'adresse d'un utilisateur réel, qui n'est en rien responsable de l'envoi du virus, afin qu'il soit impossible de prévenir la personne effectivement infectée.

Bagle.C installe une porte dérobée qui ouvre le port TCP 2745 de l'ordinateur infecté, puis tente de terminer les processus suivants pour empêcher l'utilisateur de mettre à jour les antivirus correspondants :

ATUPDATER.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVLTMAIN.EXE
AVPUPD.EXE
AVWUPD32.EXE
AVXQUAR.EXE
CFIAUDIT.EXE
DRWEBUPW.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
LUALL.EXE
MCUPDATE.EXE
NUPGRADE.EXE
NUPGRADE.EXE
OUTPOST.EXE
UPDATE.EXE
Le virus est conçu pour ne plus s'installer lorsque la date du système est égale ou supérieure au 14/03/04, et ne devrait donc plus se propager de manière massive à partir de cette date.

28/02/04 : une variante mineure Bagle.D (également nommée I-Worm.Bagle.d, W32/Bagle.d@MM, W32/Bagle-D, W32.Beagle.D@mm ou WORM_BAGLE.D) a été identifiée. Elle se distingue uniquement par le nom du mutex créé par le virus pour s'assurer qu'une seule copie de lui-même existe en mémoire ("iain_m2" au lieu de "imain_mutex").

28/02/04 : une variante mineure Bagle.E (également nommée I-Worm.Bagle.e, W32/Bagle.e@MM, W32/Bagle-E, W32.Beagle.E@mm ou WORM_BAGLE.E) a été identifiée. Elle se distingue uniquement par la taille du fichier infectant (17.344 octets pour le .ZIP et 17.222 octets pour le .EXE), du fait d'une méthode de compression différente.
[align=center]"Quand une envie subite de travailler te prend. Allonges-toi et attends que ça passe"

Image[/align]

Avatar du membre
totoland
Administrateur
Administrateur
Messages : 4939
Enregistré le : 26.11.2002 11:29
Localisation : Lost somewhere

Netsky.D [Moodown.D] (01/03/2004)

Message par totoland » 01.03.2004 18:18

Netsky.D est un virus qui se propage par email. Il se présente sous la forme d'un message dont le titre et le corps sont aléatoires, avec un fichier joint dont l'extension est .PIF (17 Ko). Si ce dernier est exécuté, le virus s'envoie automatiquement aux adresses présentes dans le carnet d'adresses Windows ainsi que divers autres fichiers du disque dur.

TYPE :
Ver

SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003

ALIAS :
Moodown.D (F-Secure)
I-Worm.Moodown.d (Kaspersky)
W32/Netsky.d@MM (McAfee)
W32.Netsky.D@mm (Symantec)
WORM_NETSKY.D (Trend Micro)
Worm.SomeFool.D

TAILLE :
17.424 octets

DECOUVERTE :
01/03/2004

DESCRIPTION DETAILLEE :
Le virus Netsky.D est une variante du virus Netsky.C. Il se présente sous la forme d'un message dont le titre, le corps et le nom du fichier joint sont aléatoires Les titres de message :

* Re: Your website
* Re: Your product
* Re: Your letter
* Re: Your archive
* Re: Your text
* Re: Your bill
* Re: Your details
* Re: My details
* Re: Word file
* Re: Excel file
* Re: Details
* Re: Approved
* Re: Your software
* Re: Your music
* Re: Here
* Re: Re: Re: Your document
* Re: Hello
* Re: Hi
* Re: Re: Message
* Re: Your picture
* Re: Here is the document
* Re: Your document
* Re: Thanks!
* Re: Re: Thanks!
* Re: Re: Document
* Re: Document

Le corps du message est un court texte plus ou moins anodin en anglais destiné à exciter la curiosité de l'internaute :

* Your file is attached.
* Please read the attached file.
* Please have a look at the attached file.
* See the attached file for details.
* Here is the file.
* Your document is attached.

La pièce jointe possède un nom aléatoire et une extension en .PIF :

* your_website.pif
* your_product.pif
* your_letter.pif
* your_archive.pif
* your_text.pif
* your_bill.pif
* your_details.pif
* document_word.pif
* document_excel.pif
* my_details.pif
* all_document.pif
* application.pif
* mp3music.pif
* yours.pif
* document_4351.pif
* your_file.pif
* message_details.pif
* your_picture.pif
* document_full.pif
* message_part2.pif
* document.pif
* your_document.pif

Si le fichier joint est exécuté, le virus se copie dans le répertoire Windows sous le nom WINLOGON.EXE, modifie la base de registres afin d'être exécuté à chaque démarrage de l'ordinateur, puis s'envoie aux contacts dont les adresses figurent dans le carnet d'adresses Windows ainsi que les fichiers .ADB, .ASP, .CGI, .DBX, .DHTM, .DOC, .EML, .HTM, .HTML, .MSG, .OFT, .PHP, .PL, .RFT, .SHT, .SHTM, .TBB, .TXT, .UIN et .VBS du disque, en utilisant comme adresse d'expéditeur une adresse usurpée ou falsifée.

Netsky.D tente également de désactiver les virus Mydoom.A, Mydoom.B, Mimail.T, Netsky.A et Netsky.B. Pour signaler sa présence, le virus fait enfin retentir le beeper de l'ordinateur infecté entre 6 h et 8h du matin le 02/03/04.
[align=center]"Quand une envie subite de travailler te prend. Allonges-toi et attends que ça passe"

Image[/align]

Avatar du membre
totoland
Administrateur
Administrateur
Messages : 4939
Enregistré le : 26.11.2002 11:29
Localisation : Lost somewhere

Bagle.H [Bagle.I] (01/03/2004)

Message par totoland » 03.03.2004 15:17

Bagle.H est un virus qui se propage par email. Il se présente sous la forme d'un message dont le titre et le corps sont aléatoires, accompagné d'un fichier joint comportant une extension en .ZIP (19 à 22 Ko) contenant un fichier exécutable .EXE et dont l'accès est protégé par un mot de passe, le mot de passe étant indiqué dans le corps du message. Si ce fichier est exécuté, le virus s'envoie aux adresses présentes dans le carnet d'adresses Windows ainsi que divers autres fichiers du disque dur, tente de désactiver certains antivirus et pare-feux personnels, installe une porte dérobée.

TYPE :
Ver

SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003

ALIAS :
Bagle.H (F-Secure)
I-Worm.Bagle.h (Kaspersky)
W32/Bagle.h@MM (McAfee)
W32/Bagle-H (Sophos)
W32.Beagle.H@mm (Symantec)
WORM_BAGLE.H (Trend Micro)

TAILLE :
19 à 22 Ko

DECOUVERTE :
01/03/2004

DESCRIPTION DETAILLEE :
Le virus Bagle.H est une variante du virus Bagle.F. Il se présente sous la forme d'un message dont le coprs ets vide et l'objet aléatoire :

* :-)
* Hokki =)
* Weah, hello! :-)
* Weeeeee! ;)))
* Hi! :-)
* ello! =))
* Hey, ya! =))
* ^_^ meay-meay!
* ^_^ meay-meay!
* ^_^ mew-mew (-:

Le corps du message est variable, et incite à ouvrir le fichier joint en fournissant le mot de passe qui protége l'accès au fichier ZIP :

* Hey, dude, it's me ^_^ :P
* Argh, i don't like the plaintext :)
* I don't bite, weah!
* Looking forward for a response :P

Le fichier joint possède un nom aléatoire avec une extension en .EXE dont l'icône est celle d'un dossier Windows. Les noms possibles :

* TextDocument.zip
* Readme.zip
* Msg.zip
* Msginfo.zip
* Document.zip
* Info.zip
* Attachedfile.zip
* Attacheddocument.zip
* TextDocument.zip
* Text.zip
* TextFile.zip
* Letter.zip
* MoreInfo.zip
* Message.zip

Si ce fichier est exécuté, le virus se copie dans le répertoire System sous le nom i11ru54n4.exe, ainsi que les fichiers go154o.exe, i1i5nj4.exe et i11ru54n4.exeopen, modifie la base de registres afin d'être exécuté à chaque démarrage de l'ordinateur, puis s'envoie aux contacts dont les adresses figurent dans le carnet d'adresses Windows ainsi que les fichiers .ADB, .ASP, .CFG, .DBX, .EML, .HTM, .HTML, .MDX, .MMF, .NCH, .ODS, .PHP, .PL, .SHT, .TBB, .TXT et .XML présents sur le disque dur (exceptées les adresses en @hotmail.com, @msn.com, @microsoft et @avp) avec une adresse d'expéditeur falsifiée. Cette adresse correspond le plus souvent à l'adresse d'un utilisateur réel, qui n'est en rien responsable de l'envoi du virus, afin qu'il soit impossible de prévenir la personne effectivement infectée.

Bagle.H installe une porte dérobée qui ouvre le port TCP 2745 de l'ordinateur infecté, puis tente de terminer les processus suivants pour empêcher l'utilisation ou la mise à jour des logiciels de sécurité correspondants :

* ATUPDATER.EXE
* ATUPDATER.EXE
* AUPDATE.EXE
* AUTODOWN.EXE
* AUTOTRACE.EXE
* AUTOUPDATE.EXE
* AVLTMAIN.EXE
* AVPUPD.EXE
* AVWUPD32.EXE
* AVXQUAR.EXE
* CFIAUDIT.EXE
* DRWEBUPW.EXE
* ICSSUPPNT.EXE
* ICSUPP95.EXE
* LUALL.EXE
* MCUPDATE.EXE
* NUPGRADE.EXE
* NUPGRADE.EXE
* OUTPOST.EXE
* UPDATE.EXE

Bagle.H tente enfin de se propager via les dossiers dont le nom comporte le mot "sharing" ou "share" (comme KaZaa, Bearshare, etc.) en s'y copiant sous divers noms aguicheurs :

* ACDSee 9.exe
* Adobe Photoshop 9 full.exe
* Ahead Nero 7.exe
* Matrix 3 Revolution English Subtitles.exe
* Microsoft Office 2003 Crack, Working!.exe
* Microsoft Office XP working Crack, Keygen.exe
* Microsoft Windows XP, WinXP Crack, working Keygen.exe
* Opera 8 New!.exe
* Porno pics arhive, xxx.exe
* Porno Screensaver.scr
* Porno, sex, oral, anal cool, awesome!!.exe
* Serials.txt.exe
* WinAmp 5 Pro Keygen Crack Update.exe
* WinAmp 6 New!.exe
* Windown Longhorn Beta Leak.exe
* Windows Sourcecode update.doc.exe
* XXX hardcore images.exe

Le virus est conçu pour ne plus se propager lorsque la date du système est égale ou supérieure au 25/03/04, mais il restera présent dans les systèmes déjà infectés, donc une désinfection restera nécessaire.

02/03/04 : une variante mineure Bagle.I (également nommée W32/Bagle.i@MM, W32/Bagle-I, W32.Beagle.I@mm ou WORM_BAGLE.I) a été identifiée. Elle se distingue essentiellement par l'utilisation d'une méthode de compression de code différente pour tenter d'éviter la détection générique.
[align=center]"Quand une envie subite de travailler te prend. Allonges-toi et attends que ça passe"

Image[/align]

Avatar du membre
totoland
Administrateur
Administrateur
Messages : 4939
Enregistré le : 26.11.2002 11:29
Localisation : Lost somewhere

Bagle.J (03/03/2004)

Message par totoland » 04.03.2004 21:16

Bagle.J est un virus qui se propage par email et via les dossiers partagés. Il se présente sous la forme d'un message dont le titre et le corps sont aléatoires, accompagné d'un fichier joint avec une extension en .EXE, .PIF ou .ZIP (12 à 13 Ko). Le virus usurpe l'identité du prestataire de messagerie du destinataire et prétexte un problème technique ou la fourniture d'un antivirus gratuit pour l'inciter à exécuter le fichier joint. Si ce fichier est exécuté, le virus s'envoie aux adresses présentes dans le carnet d'adresses Windows ainsi que divers autres fichiers, tente de désactiver certains antivirus et pare-feux personnels, installe une porte dérobée, puis tente le cas échéant de se propager via KaZaA et les dossiers mis en partage.


TYPE :
Ver

SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003

ALIAS :
Bagle.J (F-Secure)
I-Worm.Bagle.i (Kaspersky)
W32/Bagle.j@MM (McAfee)
W32/Bagle-J (Sophos)
W32.Beagle.J@mm (Symantec)
WORM_BAGLE.J (Trend Micro)

TAILLE :
12,288 Ko

DECOUVERTE :
02/03/2004

DESCRIPTION DETAILLEE :
Le virus Bagle.J est une variante du virus Bagle.A. Il se présente sous la forme d'un message dont le coprs ets vide et l'objet aléatoire :

* E-mail account security warning.
* Notify about using the e-mail account.
* Warning about your e-mail account.
* Important notify about your e-mail account.
* Email account utilization warning.
* Notify about your e-mail account utilization.
* E-mail account disabling warning.

Le corps du message est variable, et incite à ouvrir le fichier joint en fournissant si nécessaire le mot de passe qui protége l'accès au fichier ZIP :

* Your e-mail account has been temporary disabled because of unauthorized access.
* Our main mailing server will be temporary unavaible for next two days, to continue receiving mail in these days you have to configure our free auto-forwarding service.
* Your e-mail account will be disabled because of improper using in next three days, if you are still wishing to use it, please, resign your account information.
* We warn you about some attacks on your e-mail account. Your computer may contain viruses, in order to keep your computer and e-mail account safe, please, follow the instructions.
* Our antivirus software has detected a large ammount of viruses outgoing from your email account, you may use our free anti-virus tool to clean up your computer software.
* Some of our clients complained about the spam (negative e-mail content) outgoing from your e-mail account. Probably, you have been infected by a proxy-relay trojan server. In order to keep your computer safe, follow the instructions.

Le message est personnalisé avec une formule de salutation (ex. : "Dear user of [nom de domaine de votre email]"), une phrase renvoyant au fichier joint pour plus d'informations (et donnant le mot de passe protégeant l'accès au fichier ZIP le cas échéant), ainsi qu'une formule finale de politesse incluant "The [domaine] team http://[domaine]" afin de se faire passer pour le FAI.

Le fichier joint possède un nom aléatoire avec une extension en .EXE, .PIF ou .ZIP dont l'icône est celle d'un fichier Notepad. Les noms possibles :

* Attach
* Information
* Readme
* Document
* Info
* TextDocument
* TextFile
* MoreInfo
* Message

Si ce fichier est exécuté, le virus se copie dans le répertoire System sous le nom IRUN4.EXE, ainsi que le fichier IRUN4.EXEOPEN, modifie la base de registres afin d'être exécuté à chaque démarrage de l'ordinateur, puis s'envoie automatiquement aux contacts dont les adresses figurent dans le carnet d'adresses Windows ainsi que les fichiers .ADB, .ASP, .CFG, .DBX, .EML, .HTM, .HTML, .MDX, .MMF, .NCH, .ODS, .PHP, .PL, .SHT, .TBB, .TXT et .XML présents sur le disque dur (exceptées les adresses en @hotmail.com, @msn.com, @microsoft et @avp) avec une adresse d'expéditeur falsifiée. Cette adresse est formée à partir du nom de domaine de l'adresse du destinataire, en utilisant comme nom d'utilisateur "support", "noreply", "management", "administration" ou "staff" (si votre FAI est Free.fr l'expéditeur du message infecté est donc par exemple support@free.fr).

Bagle.J installe une porte dérobée qui ouvre le port TCP 2745 de l'ordinateur infecté, puis tente de terminer les processus suivants pour empêcher l'utilisation ou la mise à jour des logiciels de sécurité correspondants :

* ATUPDATER.EXE
* ATUPDATER.EXE
* AUPDATE.EXE
* AUTODOWN.EXE
* AUTOTRACE.EXE
* AUTOUPDATE.EXE
* AVLTMAIN.EXE
* AVPUPD.EXE
* AVWUPD32.EXE
* AVXQUAR.EXE
* CFIAUDIT.EXE
* DRWEBUPW.EXE
* ICSSUPPNT.EXE
* ICSUPP95.EXE
* LUALL.EXE
* MCUPDATE.EXE
* NUPGRADE.EXE
* NUPGRADE.EXE
* OUTPOST.EXE
* UPDATE.EXE

Bagle.J tente enfin de se propager via les dossiers dont le nom comporte le mot "sharing" ou "share" (comme KaZaa, Bearshare, etc.) en s'y copiant sous divers noms aguicheurs :

* ACDSee 9.exe
* Adobe Photoshop 9 full.exe
* Ahead Nero 7.exe
* Matrix 3 Revolution English Subtitles.exe
* Microsoft Office 2003 Crack, Working!.exe
* Microsoft Office XP working Crack, Keygen.exe
* Microsoft Windows XP, WinXP Crack, working Keygen.exe
* Opera 8 New!.exe
* Porno pics arhive, xxx.exe
* Porno Screensaver.scr
* Porno, sex, oral, anal cool, awesome!!.exe
* Serials.txt.exe
* WinAmp 5 Pro Keygen Crack Update.exe
* WinAmp 6 New!.exe
* Windown Longhorn Beta Leak.exe
* Windows Sourcecode update.doc.exe
* XXX hardcore images.exe

Le virus est conçu pour ne plus se propager lorsque la date du système est égale ou supérieure au 25/03/05, mais il restera présent dans les systèmes déjà infectés, donc une désinfection restera nécessaire.

03/03/04 : une variante mineure Bagle.K (également nommée W32/Bagle-K, W32/Bagle.k@MM, W32.Beagle.K@mm ou WORM_BAGLE.K) a été identifiée. Elle se distingue essentiellement par le fait que le virus se copie répertoire System sous le nom WINSYS.EXE, ainsi qu'un fichier WINSYS.EXEOPEN.
[align=center]"Quand une envie subite de travailler te prend. Allonges-toi et attends que ça passe"

Image[/align]

Avatar du membre
totoland
Administrateur
Administrateur
Messages : 4939
Enregistré le : 26.11.2002 11:29
Localisation : Lost somewhere

Sober.D (08/03/2004)

Message par totoland » 08.03.2004 16:39

Sober.D est un virus qui se propage par email. Il se présente sous la forme d'un message prétendument envoyé par Microsoft dont le titre est "Microsoft Alert: Please Read!" et dont le fichier joint comporte une extension en .EXE ou .ZIP (33 Ko), tentant de se faire passer pour un correctif de sécurité à installer pour se protéger contre le virus Mydoom. Si le fichier joint est exécuté, le virus s'envoie aux correspondants présents dans le carnet d'adresses Windows, ainsi qu'aux adresses collectées dans divers fichiers.


TYPE :
Ver

SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003

ALIAS :
Win32.Sober.D@mm (Bit Defender)
I-Worm.Sober.D (Kaspersky)
Sober.D (F-Secure)
W32/Sober.d@MM (McAfee)
W32/Roca-A (Sophos)
W32.Sober.D@mm (Symantec)
WORM_SOBER.D (Trend Micro)

TAILLE :
33.792 octets

DECOUVERTE :
08/03/2004

DESCRIPTION DETAILLEE :
Sober.D est une variante du virus Sober.A qui se présente sous la forme d'un message en anglais ou en allemand, dont le titre est :

* Microsoft Alert: Please Read!
* Microsoft Alarm: Bitte Lesen!

Le corps du message se présente comme un bulletin de sécurité et incite le destinataire à exécuter le fichier joint, qui est un exemplaire du virus :

* New MyDoom Virus Variant Detected!

A new variant of the W32.Mydoom (W32.Novarg) worm spread rapidly through the Internet. Anti-virus vendor Central Command claims that 1 in 45 e-mails contains the MyDoom virus. The worm also has a backdoor Trojan capability.
By default, the Trojan component listens on port 13468.

Protection:
Please download this digitally signed attachment.
This Update includes the functionality of previously released patches.
* Neue Virus-Variante W32.Mydoom verbreitet sich schnell.

Eine neue Mydoom-Variante verbreitet sich derzeit rasend schnell im Internet. Wie seine Vorgänger verschickt sich der Wurm von infizierten Windows-Rechnern per E-Mail an weitere Adressen.
Zudem installiert er auf infizierten Systemen einen gefährlichen Trojaner!

Führende Virenspezialisten melden bereis ein vermehrtes Aufkommen des W32.Mydoom alias W32.Novarg.
Bitte daten Sie Ihr System mit dem Patch ab, um sich vor diesem Schädling zu schützen!

La pièce jointe possède un nom aléatoire et une extension en .EXE ou .ZIP. Quelques exemples :

* Update39765.zip
* MS-UD89021.exe
* MS-Q4532364791.exe
* sys-patch52647.exe
* MS-Security34651.exe
* Security25416.zip
* Patch34726.zip

Si ce fichier est exécuté, une boîte de dialogue indique "This patch has been successfully installed." ou "This patch doas not need to be installed on this system." puis le virus se copie dans le répertoire System de Windows sous un nom aléatoire, modifie la base de registres pour s'exécuter automatiquement au prochain démarrage de l'ordinateur, puis s'envoie aux correspondants présents dans le carnet d'adresses Windows, ainsi qu'aux adresses email collectées dans divers autres fichiers de l'ordinateur infecté.
[align=center]"Quand une envie subite de travailler te prend. Allonges-toi et attends que ça passe"

Image[/align]

Avatar du membre
totoland
Administrateur
Administrateur
Messages : 4939
Enregistré le : 26.11.2002 11:29
Localisation : Lost somewhere

Bagle.N (13/03/2004)

Message par totoland » 14.03.2004 15:41

Bagle.N est un virus qui se propage par email et via les dossiers partagés. Il se présente sous la forme d'un message dont le titre et le corps sont aléatoires, accompagné d'un fichier joint avec une extension en .EXE, .PIF, .ZIP ou .RAR (21 à 22 Ko) ainsi éventuellement que d'une image au format .BMP, .GIF ou .JPG. Si le fichier joint est exécuté, le virus s'envoie aux adresses présentes dans le carnet d'adresses Windows ainsi que divers autres fichiers, tente de désactiver un grand nombre d'antivirus, pare-feux personnels et autres logiciels de sécurité, installe une porte dérobée, puis tente de se propager via KaZaA et les dossiers mis en partage.


TYPE :
Ver + Infecteur de fichiers

SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003

ALIAS :
Bagle.N (F-Secure)
I-Worm.Bagle.n (Kaspersky)
W32/Bagle.n@MM (McAfee)
W32/Bagle-N (Sophos)
W32.Beagle.M@mm (Symantec)
PE_BAGLE.N (Trend Micro)


TAILLE :
21 à 22 Ko

DECOUVERTE :
13/03/2004

DESCRIPTION DETAILLEE :
Le virus Bagle.N est une variante du virus Bagle.J. Il se présente sous la forme d'un message dont le corps ets vide et l'objet aléatoire :

Account notify
E-mail account disabling warning.
E-mail account security warning.
Email account utilization warning.
Email report
E-mail technical support message.
E-mail technical support warning.
E-mail warning
Encrypted document
Fax Message Received
Forum notify
Hidden message
Important notify
Important notify about your e-mail account.
Incoming message
Notify about using the e-mail account.
Notify about your e-mail account utilization.
Notify from e-mail technical support.
Protected message
Re: Document
Re: Hello
Re: Hi
Re: Incoming Fax
Re: Incoming Message
Re: Msg reply
RE: Protected message
RE: Text message
Re: Thank you!
Re: Thanks :)
Re: Yahoo!
Request response
Site changes
Warning about your e-mail account.
Le corps du message est variable, plus ou moins personnalisé, mais incite toujours à ouvrir le fichier joint :

Our antivirus software has detected a large ammount of viruses outgoing from your email account, you may use our free anti-virus tool to clean up your computer software.
Our main mailing server will be temporary unavaible for next two days, to continue receiving mail in these days you have to configure our free auto-forwarding service.
Some of our clients complained about the spam (negative e-mail content) outgoing from your e-mail account. Probably, you have been infected by a proxy-relay trojan server. In order to keep your computer safe, follow the instructions.
We warn you about some attacks on your e-mail account. Your computer may contain viruses, in order to keep your computer and e-mail account safe, please, follow the instructions.
Your e-mail account will be disabled because of improper using in next three days, if you are still wishing to use it, please, resign your account information.
Your e-mail account has been temporary disabled because of unauthorized access.
See attach.
Le fichier joint possède un nom aléatoire avec une extension en .EXE, .PIF, .ZIP ou .RAR dont l'icône est celle d'une police de caractère True-Type (si l'accès au fichier .ZIP est protégé par un mot de passe, ce dernier figure dans une image .BMP, .GIF ou .JPG. jointe au message afin de contourner la routine de détection générique récemment élaborée pour contrer les virus de la famille Bagle). Les noms possibles :

Attach
Details
details
Document
Encrypted
first_part
Gift
Info
Information
Message
MoreInfo
pub_document
Readme
Text
text_document
TextDocument
Si ce fichier est exécuté, le virus se copie dans le répertoire System sous le nom WINUPD.EXE, ainsi que les fichiers WINUPD.EXEOPEN, WINUPD.EXEOPENOPEN et WINUPD.EXEOPENOPENOPEN, modifie la base de registres afin d'être exécuté à chaque démarrage de l'ordinateur, puis s'envoie automatiquement aux contacts dont les adresses figurent dans le carnet d'adresses Windows ainsi que les fichiers .ADB, .ASP, .CFG, .CGI, .DBX, .DHTM, .EML, .HTM, .HTML, .JSP, .MBX, .MDX, .MHT, .MMF, .MSG, .NCH, .ODS, .OFT, .PHP, .PL, .SHT, .SHTM, .STM, .TBB, .TXT, .UIN, .WSH, .XLS et .XML présents sur le disque avec une adresse d'expéditeur falsifiée. Cette adresse est formée à partir du nom de domaine de l'adresse du destinataire, en utilisant comme nom d'utilisateur "support", "noreply", "management", "administration" ou "staff" (si votre FAI est Free.fr l'expéditeur du message infecté est donc par exemple support@free.fr), ou est celle d'un correspondant innocent dont l'adresse figure sur le disque dur de la victime.

Bagle.N installe une porte dérobée qui ouvre un port aléatoire de l'ordinateur infecté, infecte les fichiers .EXE de l'ordinateur en y ajoutant son propre code, puis tente de terminer les processus suivants pour désactiver les antivirus, pare-feux et autres logiciels de sécurité correspondants :

AGENTSVR.EXE
ANTI-TROJAN.EXE
ANTI-TROJAN.EXE
ANTIVIRUS.EXE
ANTS.EXE
APIMONITOR.EXE
APLICA32.EXE
APVXDWIN.EXE
ATCON.EXE
ATGUARD.EXE
ATRO55EN.EXE
ATUPDATER.EXE
ATWATCH.EXE
au.exe
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVCONSOL.EXE
AVGSERV9.EXE
AVLTMAIN.EXE
AVprotect9x.exe
AVPUPD.EXE
AVSYNMGR.EXE
AVWUPD32.EXE
AVXQUAR.EXE
BD_PROFESSIONAL.EXE
BIDEF.EXE
BIDSERVER.EXE
BIPCP.EXE
BIPCPEVALSETUP.EXE
BISP.EXE
BLACKD.EXE
BLACKICE.EXE
BOOTWARN.EXE
BORG2.EXE
BS120.EXE
CDP.EXE
CFGWIZ.EXE
CFGWIZ.EXE
CFIADMIN.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFIAUDIT.EXE
CFIAUDIT.EXE
CFINET.EXE
CFINET.EXE
CFINET32.EXE
CFINET32.EXE
CLEAN.EXE
CLEAN.EXE
CLEANER.EXE
CLEANER.EXE
CLEANER3.EXE
CLEANER3.EXE
CLEANPC.EXE
CLEANPC.EXE
CMGRDIAN.EXE
CMGRDIAN.EXE
CMON016.EXE
CMON016.EXE
CPD.EXE
CPF9X206.EXE
CPFNT206.EXE
CV.EXE
CWNB181.EXE
CWNTDWMO.EXE
d3dupdate.exe
DEFWATCH.EXE
DEPUTY.EXE
DPF.EXE
DPFSETUP.EXE
DRWATSON.EXE
DRWEBUPW.EXE
ENT.EXE
ESCANH95.EXE
ESCANHNT.EXE
ESCANV95.EXE
EXANTIVIRUS-CNET.EXE
FAST.EXE
FIREWALL.EXE
FLOWPROTECTOR.EXE
FP-WIN_TRIAL.EXE
FRW.EXE
FSAV.EXE
FSAV530STBYB.EXE
FSAV530WTBYB.EXE
FSAV95.EXE
GBMENU.EXE
GBPOLL.EXE
GUARD.EXE
GUARDDOG.EXE
HACKTRACERSETUP.EXE
HTLOG.EXE
HWPE.EXE
IAMAPP.EXE
IAMAPP.EXE
IAMSERV.EXE
ICLOAD95.EXE
ICLOADNT.EXE
ICMON.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
ICSUPP95.EXE
ICSUPPNT.EXE
IFW2000.EXE
IPARMOR.EXE
IRIS.EXE
JAMMER.EXE
KAVLITE40ENG.EXE
KAVPERS40ENG.EXE
KERIO-PF-213-EN-WIN.EXE
KERIO-WRL-421-EN-WIN.EXE
KERIO-WRP-421-EN-WIN.EXE
KILLPROCESSSETUP161.EXE
LDPRO.EXE
LOCALNET.EXE
LOCKDOWN.EXE
LOCKDOWN2000.EXE
LSETUP.EXE
LUALL.EXE
LUCOMSERVER.EXE
LUINIT.EXE
MCAGENT.EXE
MCUPDATE.EXE
MCUPDATE.EXE
MFW2EN.EXE
MFWENG3.02D30.EXE
MGUI.EXE
MINILOG.EXE
MOOLIVE.EXE
MRFLUX.EXE
MSCONFIG.EXE
MSINFO32.EXE
MSSMMC32.EXE
MU0311AD.EXE
NAV80TRY.EXE
NAVAPW32.EXE
NAVDX.EXE
NAVSTUB.EXE
NAVW32.EXE
NC2000.EXE
NCINST4.EXE
NDD32.EXE
NEOMONITOR.EXE
NETARMOR.EXE
NETINFO.EXE
NETMON.EXE
NETSCANPRO.EXE
NETSPYHUNTER-1.2.EXE
NETSTAT.EXE
NISSERV.EXE
NISUM.EXE
NMAIN.EXE
NORTON_INTERNET_SECU_3.0_407.EXE
NPF40_TW_98_NT_ME_2K.EXE
NPFMESSENGER.EXE
NPROTECT.EXE
NSCHED32.EXE
NTVDM.EXE
NUPGRADE.EXE
NVARCH16.EXE
NWINST4.EXE
NWTOOL16.EXE
OSTRONET.EXE
OUTPOST.EXE
OUTPOSTINSTALL.EXE
OUTPOSTPROINSTALL.EXE
PADMIN.EXE
PANIXK.EXE
PAVPROXY.EXE
PCC2002S902.EXE
PCC2K_76_1436.EXE
PCCIOMON.EXE
PCDSETUP.EXE
PCFWALLICON.EXE
PCFWALLICON.EXE
PCIP10117_0.EXE
PDSETUP.EXE
PERISCOPE.EXE
PERSFW.EXE
PF2.EXE
PFWADMIN.EXE
PINGSCAN.EXE
PLATIN.EXE
POPROXY.EXE
POPSCAN.EXE
PORTDETECTIVE.EXE
PPINUPDT.EXE
PPTBC.EXE
PPVSTOP.EXE
PROCEXPLORERV1.0.EXE
PROPORT.EXE
PROTECTX.EXE
PSPF.EXE
PURGE.EXE
PVIEW95.EXE
QCONSOLE.EXE
QSERVER.EXE
RAV8WIN32ENG.EXE
REGEDIT.EXE
REGEDT32.EXE
RESCUE.EXE
RESCUE32.EXE
RRGUARD.EXE
RSHELL.EXE
RTVSCN95.EXE
RULAUNCH.EXE
SAFEWEB.EXE
SBSERV.EXE
SD.EXE
SETUP_FLOWPROTECTOR_US.EXE
SETUPVAMEEVAL.EXE
SFC.EXE
SGSSFW32.EXE
SH.EXE
SHELLSPYINSTALL.EXE
SHN.EXE
SMC.EXE
SOFI.EXE
SPF.EXE
SPHINX.EXE
SPYXX.EXE
SS3EDIT.EXE
ST2.EXE
SUPFTRL.EXE
SUPPORTER5.EXE
SYMPROXYSVC.EXE
SYSEDIT.EXE
TASKMON.EXE
TAUMON.EXE
TAUSCAN.EXE
TC.EXE
TCA.EXE
TCM.EXE
TDS2-98.EXE
TDS2-NT.EXE
TDS-3.EXE
TFAK5.EXE
TGBOB.EXE
TITANIN.EXE
TITANINXP.EXE
TRACERT.EXE
TRJSCAN.EXE
TRJSETUP.EXE
TROJANTRAP3.EXE
UNDOBOOT.EXE
UPDATE.EXE
VBCMSERV.EXE
VBCONS.EXE
VBUST.EXE
VBWIN9X.EXE
VBWINNTW.EXE
VCSETUP.EXE
VFSETUP.EXE
VIRUSMDPERSONALFIREWALL.EXE
VNLAN300.EXE
VNPC3000.EXE
VPC42.EXE
VPFW30S.EXE
VPTRAY.EXE
VSCENU6.02D30.EXE
VSECOMR.EXE
VSHWIN32.EXE
VSISETUP.EXE
VSMAIN.EXE
VSMON.EXE
VSSTAT.EXE
VSWIN9XE.EXE
VSWINNTSE.EXE
VSWINPERSE.EXE
W32DSM89.EXE
W9X.EXE
WATCHDOG.EXE
WEBSCANX.EXE
WGFE95.EXE
WHOSWATCHINGME.EXE
WHOSWATCHINGME.EXE
WINRECON.EXE
WNT.EXE
WRADMIN.EXE
WRCTRL.EXE
WSBGATE.EXE
WYVERNWORKSFIREWALL.EXE
XPF202EN.EXE
ZAPRO.EXE
ZAPSETUP3001.EXE
ZATUTOR.EXE
ZAUINST.EXE
ZONALM2601.EXE
ZONEALARM.EXE
Bagle.N tente enfin de se propager via les dossiers dont le nom comporte le mot "sharing" ou "share" (comme KaZaa, Bearshare, etc.) en s'y copiant sous divers noms aguicheurs :

ACDSee 9.exe
Adobe Photoshop 9 full.exe
Ahead Nero 7.exe
Matrix 3 Revolution English Subtitles.exe
Microsoft Office 2003 Crack, Working!.exe
Microsoft Office XP working Crack, Keygen.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Opera 8 New!.exe
Porno pics arhive, xxx.exe
Porno Screensaver.scr
Porno, sex, oral, anal cool, awesome!!.exe
Serials.txt.exe
WinAmp 5 Pro Keygen Crack Update.exe
WinAmp 6 New!.exe
Windown Longhorn Beta Leak.exe
Windows Sourcecode update.doc.exe
XXX hardcore images.exe
Le virus est conçu pour se désactiver lorsque la date du système est égale ou supérieure au 31/12/05, mais il reste présent dans les systèmes déjà infectés, donc une désinfection reste nécessaire.
[align=center]"Quand une envie subite de travailler te prend. Allonges-toi et attends que ça passe"

Image[/align]

Avatar du membre
totoland
Administrateur
Administrateur
Messages : 4939
Enregistré le : 26.11.2002 11:29
Localisation : Lost somewhere

Bagle.Q (18/03/2004)

Message par totoland » 18.03.2004 14:33

Bagle.Q est un virus qui se propage par email et via les dossiers partagés. Il se présente sous la forme d'un message au format HTML dont le titre est aléatoire, sans fichier joint. Si l'ordinateur n'est pas à jour dans ses correctifs de sécurité, la simple ouverture ou prévisualisation du message provoque l'exécution d'un script qui télécharge et exécute le virus à l'insu de l'utilisateur depuis un serveur distant. Bagle.Q installe alors un serveur web sur l'ordinateur infecté, envoie un message piégé aux adresses présentes dans le carnet d'adresses Windows et divers autres fichiers, tente de désactiver un grand nombre de logiciels de sécurité, installe une porte dérobée, infecte les fichiers .EXE du disque puis se copie dans les dossiers partagés.


TYPE :
Ver + Infecteur de fichiers

SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003

ALIAS :
Bagle.Q (F-Secure)
I-Worm.Bagle.q (Kaspersky)
W32/Bagle.q@MM (McAfee)
W32/Bagle-Q (Sophos)
W32.Beagle.O@mm (Symantec)
PE_BAGLE.Q (Trend Micro)

TAILLE :
25.600 octets

DECOUVERTE :
18/03/2004

DESCRIPTION DETAILLEE :
Le virus Bagle.A est une variante du virus Bagle.N. Il se présente sous la forme d'un message vide dont l'objet aléatoire, sans fichier joint :

Account notify
E-mail account disabling warning.
E-mail account security warning.
Email account utilization warning.
Email report
E-mail technical support message.
E-mail technical support warning.
E-mail warning
Encrypted document
Fax Message Received
Forum notify
Hidden message
Important notify
Important notify about your e-mail account.
Incoming message
Notify about using the e-mail account.
Notify about your e-mail account utilization.
Notify from e-mail technical support.
Protected message
Re: Document
Re: Hello
Re: Hi
Re: Incoming Fax
Re: Incoming Message
Re: Msg reply
RE: Protected message
RE: Text message
Re: Thank you!
Re: Thanks :)
Re: Yahoo!
Request response
Site changes
Warning about your e-mail account.
Le message au format HTML exploite la vulnérabilité MS03-040 d'Internet Explorer/Outlook (03/10/03) : si l'ordinateur n'est pas à jour dans ses correctifs de sécurité, la simple ouverture ou prévisualisation du message provoque l'exécution d'un script qui télécharge et exécute le virus à l'insu de l'utilisateur depuis un serveur distant. Le virus se copie alors dans le répertoire System sous le nom DIRECTS.EXE, modifie la base de registres afin d'être exécuté à chaque démarrage de l'ordinateur, puis envoie un message piégé aux contacts dont les adresses figurent dans le carnet d'adresses Windows ainsi que les fichiers .ADB, .ASP, .CFG, .CGI, .DBX, .DHTM, .EML, .HTM, .HTML, .JSP, .MBX, .MDX, .MHT, .MMF, .MSG, .NCH, .ODS, .OFT, .PHP, .PL, .SHT, .SHTM, .STM, .TBB, .TXT, .UIN, .WSH, .XLS et .XML présents sur le disque avec une adresse d'expéditeur falsifiée. Cette adresse est formée à partir du nom de domaine de l'adresse du destinataire, en utilisant comme nom d'expéditeur une adresse falsifiée ou usurpée.

Bagle.Q installe un serveur web rudimentaire sur l'ordinateur infecté (afin de permettre le téléchargement du virus depuis cet ordinateur) ainsi qu'une porte dérobée qui ouvre le port 2556, il infecte les fichiers .EXE de l'ordinateur en y ajoutant son propre code, puis tente de terminer les processus suivants pour désactiver les antivirus et autres logiciels de sécurité correspondants :

AGENTSVR.EXE
ANTI-TROJAN.EXE
ANTI-TROJAN.EXE
ANTIVIRUS.EXE
ANTS.EXE
APIMONITOR.EXE
APLICA32.EXE
APVXDWIN.EXE
ATCON.EXE
ATGUARD.EXE
ATRO55EN.EXE
ATUPDATER.EXE
ATWATCH.EXE
au.exe
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVCONSOL.EXE
AVGSERV9.EXE
AVLTMAIN.EXE
AVprotect9x.exe
AVPUPD.EXE
AVSYNMGR.EXE
AVWUPD32.EXE
AVXQUAR.EXE
BD_PROFESSIONAL.EXE
BIDEF.EXE
BIDSERVER.EXE
BIPCP.EXE
BIPCPEVALSETUP.EXE
BISP.EXE
BLACKD.EXE
BLACKICE.EXE
BOOTWARN.EXE
BORG2.EXE
BS120.EXE
CDP.EXE
CFGWIZ.EXE
CFGWIZ.EXE
CFIADMIN.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFIAUDIT.EXE
CFIAUDIT.EXE
CFINET.EXE
CFINET.EXE
CFINET32.EXE
CFINET32.EXE
CLEAN.EXE
CLEAN.EXE
CLEANER.EXE
CLEANER.EXE
CLEANER3.EXE
CLEANER3.EXE
CLEANPC.EXE
CLEANPC.EXE
CMGRDIAN.EXE
CMGRDIAN.EXE
CMON016.EXE
CMON016.EXE
CPD.EXE
CPF9X206.EXE
CPFNT206.EXE
CV.EXE
CWNB181.EXE
CWNTDWMO.EXE
d3dupdate.exe
DEFWATCH.EXE
DEPUTY.EXE
DPF.EXE
DPFSETUP.EXE
DRWATSON.EXE
DRWEBUPW.EXE
ENT.EXE
ESCANH95.EXE
ESCANHNT.EXE
ESCANV95.EXE
EXANTIVIRUS-CNET.EXE
FAST.EXE
FIREWALL.EXE
FLOWPROTECTOR.EXE
FP-WIN_TRIAL.EXE
FRW.EXE
FSAV.EXE
FSAV530STBYB.EXE
FSAV530WTBYB.EXE
FSAV95.EXE
GBMENU.EXE
GBPOLL.EXE
GUARD.EXE
GUARDDOG.EXE
HACKTRACERSETUP.EXE
HTLOG.EXE
HWPE.EXE
IAMAPP.EXE
IAMAPP.EXE
IAMSERV.EXE
ICLOAD95.EXE
ICLOADNT.EXE
ICMON.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
ICSUPP95.EXE
ICSUPPNT.EXE
IFW2000.EXE
IPARMOR.EXE
IRIS.EXE
JAMMER.EXE
KAVLITE40ENG.EXE
KAVPERS40ENG.EXE
KERIO-PF-213-EN-WIN.EXE
KERIO-WRL-421-EN-WIN.EXE
KERIO-WRP-421-EN-WIN.EXE
KILLPROCESSSETUP161.EXE
LDPRO.EXE
LOCALNET.EXE
LOCKDOWN.EXE
LOCKDOWN2000.EXE
LSETUP.EXE
LUALL.EXE
LUCOMSERVER.EXE
LUINIT.EXE
MCAGENT.EXE
MCUPDATE.EXE
MCUPDATE.EXE
MFW2EN.EXE
MFWENG3.02D30.EXE
MGUI.EXE
MINILOG.EXE
MOOLIVE.EXE
MRFLUX.EXE
MSCONFIG.EXE
MSINFO32.EXE
MSSMMC32.EXE
MU0311AD.EXE
NAV80TRY.EXE
NAVAPW32.EXE
NAVDX.EXE
NAVSTUB.EXE
NAVW32.EXE
NC2000.EXE
NCINST4.EXE
NDD32.EXE
NEOMONITOR.EXE
NETARMOR.EXE
NETINFO.EXE
NETMON.EXE
NETSCANPRO.EXE
NETSPYHUNTER-1.2.EXE
NETSTAT.EXE
NISSERV.EXE
NISUM.EXE
NMAIN.EXE
NORTON_INTERNET_SECU_3.0_407.EXE
NPF40_TW_98_NT_ME_2K.EXE
NPFMESSENGER.EXE
NPROTECT.EXE
NSCHED32.EXE
NTVDM.EXE
NUPGRADE.EXE
NVARCH16.EXE
NWINST4.EXE
NWTOOL16.EXE
OSTRONET.EXE
OUTPOST.EXE
OUTPOSTINSTALL.EXE
OUTPOSTPROINSTALL.EXE
PADMIN.EXE
PANIXK.EXE
PAVPROXY.EXE
PCC2002S902.EXE
PCC2K_76_1436.EXE
PCCIOMON.EXE
PCDSETUP.EXE
PCFWALLICON.EXE
PCFWALLICON.EXE
PCIP10117_0.EXE
PDSETUP.EXE
PERISCOPE.EXE
PERSFW.EXE
PF2.EXE
PFWADMIN.EXE
PINGSCAN.EXE
PLATIN.EXE
POPROXY.EXE
POPSCAN.EXE
PORTDETECTIVE.EXE
PPINUPDT.EXE
PPTBC.EXE
PPVSTOP.EXE
PROCEXPLORERV1.0.EXE
PROPORT.EXE
PROTECTX.EXE
PSPF.EXE
PURGE.EXE
PVIEW95.EXE
QCONSOLE.EXE
QSERVER.EXE
RAV8WIN32ENG.EXE
REGEDIT.EXE
REGEDT32.EXE
RESCUE.EXE
RESCUE32.EXE
RRGUARD.EXE
RSHELL.EXE
RTVSCN95.EXE
RULAUNCH.EXE
SAFEWEB.EXE
SBSERV.EXE
SD.EXE
SETUP_FLOWPROTECTOR_US.EXE
SETUPVAMEEVAL.EXE
SFC.EXE
SGSSFW32.EXE
SH.EXE
SHELLSPYINSTALL.EXE
SHN.EXE
SMC.EXE
SOFI.EXE
SPF.EXE
SPHINX.EXE
SPYXX.EXE
SS3EDIT.EXE
ST2.EXE
SUPFTRL.EXE
SUPPORTER5.EXE
SYMPROXYSVC.EXE
SYSEDIT.EXE
TASKMON.EXE
TAUMON.EXE
TAUSCAN.EXE
TC.EXE
TCA.EXE
TCM.EXE
TDS2-98.EXE
TDS2-NT.EXE
TDS-3.EXE
TFAK5.EXE
TGBOB.EXE
TITANIN.EXE
TITANINXP.EXE
TRACERT.EXE
TRJSCAN.EXE
TRJSETUP.EXE
TROJANTRAP3.EXE
UNDOBOOT.EXE
UPDATE.EXE
VBCMSERV.EXE
VBCONS.EXE
VBUST.EXE
VBWIN9X.EXE
VBWINNTW.EXE
VCSETUP.EXE
VFSETUP.EXE
VIRUSMDPERSONALFIREWALL.EXE
VNLAN300.EXE
VNPC3000.EXE
VPC42.EXE
VPFW30S.EXE
VPTRAY.EXE
VSCENU6.02D30.EXE
VSECOMR.EXE
VSHWIN32.EXE
VSISETUP.EXE
VSMAIN.EXE
VSMON.EXE
VSSTAT.EXE
VSWIN9XE.EXE
VSWINNTSE.EXE
VSWINPERSE.EXE
W32DSM89.EXE
W9X.EXE
WATCHDOG.EXE
WEBSCANX.EXE
WGFE95.EXE
WHOSWATCHINGME.EXE
WHOSWATCHINGME.EXE
WINRECON.EXE
WNT.EXE
WRADMIN.EXE
WRCTRL.EXE
WSBGATE.EXE
WYVERNWORKSFIREWALL.EXE
XPF202EN.EXE
ZAPRO.EXE
ZAPSETUP3001.EXE
ZATUTOR.EXE
ZAUINST.EXE
ZONALM2601.EXE
ZONEALARM.EXE
Bagle.Q tente enfin de se propager via les dossiers dont le nom comporte le mot "sharing" ou "share" (comme KaZaa, Bearshare, etc.) en s'y copiant sous divers noms aguicheurs :

ACDSee 9.exe
Adobe Photoshop 9 full.exe
Ahead Nero 7.exe
Matrix 3 Revolution English Subtitles.exe
Microsoft Office 2003 Crack, Working!.exe
Microsoft Office XP working Crack, Keygen.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Opera 8 New!.exe
Porno pics arhive, xxx.exe
Porno Screensaver.scr
Porno, sex, oral, anal cool, awesome!!.exe
Serials.txt.exe
WinAmp 5 Pro Keygen Crack Update.exe
WinAmp 6 New!.exe
Windown Longhorn Beta Leak.exe
Windows Sourcecode update.doc.exe
XXX hardcore images.exe
Le virus est conçu pour se désactiver lorsque la date du système est égale ou supérieure au 31/12/05, mais il reste présent dans les systèmes déjà infectés, donc une désinfection reste nécessaire.
[align=center]"Quand une envie subite de travailler te prend. Allonges-toi et attends que ça passe"

Image[/align]

Avatar du membre
totoland
Administrateur
Administrateur
Messages : 4939
Enregistré le : 26.11.2002 11:29
Localisation : Lost somewhere

Witty (20/03/2004)

Message par totoland » 22.03.2004 19:36

Witty est un virus qui se propage via le réseau en ciblant les utilisateurs de firewalls BlackICE 3.6 non à jour dans leurs correcifs. Il se présente sous la forme d'un paquet de données UDP de 768 à 1.280 octets à destination d'un port aléatoire : lorsque ce paquet atteint une machine vulnérable, Witty l'infecte puis émet une grande quantité de paquets UDP piégés pour tenter d'infecter d'autres machines. Le virus endommage périodiquement un secteur du disque dur, ce qui peut finir par rendre le système inutilisable. Les non utilisateurs de BlackICE ou les utilisateurs d'une version non vulnérable ne peuvent pas être infectés et ne sont donc pas concernés par ce virus.



TYPE :
Ver

SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003

ALIAS :
Witty (F-Secure)
W32/Witty.worm (McAfee)
W32.Witty.Worm (Symantec)
WORM_WITTY.A (Trend Micro)
Blackworm
Black Ice

TAILLE :
660 à 1.184 octets

DECOUVERTE :
20/03/2004

DESCRIPTION DETAILLEE :
Witty est un virus qui se propage directement par le réseau, et qui ne se rencontre donc pas par email. Il utilise la vulnérabilité ICQ Parsing des produits ISS pour infecter les ordinateurs vulnérables connectés à Internet (BlackICE version 3.6 inférieure à 3.6 ccg, la dernière version disponible) sans intervention de l'utilisateur au moyen d'un paquet UDP piégé. Les non utilisateurs de produits BlackICE ou les utilisateurs d'une version non vulnérable du produit ne peuvent pas être infectés par ce virus.

Witty ne crée aucun fichier sur la machine contaminée. Le ver étant présent uniquement en mémoire, il suffit de redémarrer la machine infectée pour éliminer le virus, mais l'application préventive du correctif est impérative pour les utilisateurs de produits BlackICE afin d'empêcher toute infection et donc éviter toute corruption de fichiers due à la charge destructive du virus. Une fois l'ordinateur infecté, le virus émet 20.000 paquets piégés se présentant comme des paquets de données ICQ par le port UDP 4000 à destination d'adresses IP aléatoires pour tenter de contaminer de nouvelles machines vulnérables, endommage un secteur aléatoire du disque dur en y écrivant 64 Ko de la DLL vulnérable, puis recommence un nouveau cycle en émettant 20.000 paquets piégés, ce qui peut finir par rendre le système inutilisable (les fichiers endommagés doivent être restaurés à partir d'une sauvegarde).

Compte tenu de ses caractéristiques, ce ver ne devrait pas connaître de propagation majeure ni perturber le trafic réseau de manière significative.
[align=center]"Quand une envie subite de travailler te prend. Allonges-toi et attends que ça passe"

Image[/align]

Verrouillé