Alertes VIRUS

Ce forum est consacré aux questions sur tous type de "BUGS" rencontrés sur nos chers PC: Virus, DirectX pas a jour, logiciels qui plantes, etc...

Modérateurs : TEAM THE C@TZ, MODERATEURS

Avatar du membre
totoland
Administrateur
Administrateur
Messages : 4939
Enregistré le : 26.11.2002 11:29
Localisation : Lost somewhere

Alertes VIRUS

Message par totoland » 18.02.2004 18:20

Plutôt que de créer un topic à chaque alertes, vous trouverez dans ce dernier toutes les dernières alertes de ver/virus

Catégorie de risque :
Image : Majeur
Image : Important
Image : Faible

Si vous souhaitez ajouter une alerte, merci de contacter un admin ou un modérateur de ce topic
Modifié en dernier par totoland le 26.02.2004 13:02, modifié 3 fois.
[align=center]"Quand une envie subite de travailler te prend. Allonges-toi et attends que ça passe"

Image[/align]

Avatar du membre
totoland
Administrateur
Administrateur
Messages : 4939
Enregistré le : 26.11.2002 11:29
Localisation : Lost somewhere

Alerte Virus DOOMJUICE - DeadHat (10/02/04)

Message par totoland » 18.02.2004 18:23

Doomjuice est un virus qui cible uniquement les ordinateurs infectés par le virus Mydoom.A/B.
Si la porte dérobée installée par ce dernier n'a pas été éliminée, Doomjuice l'utilise pour infecter l'ordinateur à l'insu de l'utilisateur puis scanne le réseau à la recherche de nouvelles machines vulnérables.
Il est par ailleurs programmé pour déposer le code source du virus Mydoom.A sur chaque ordinateur infecté et lancer une attaque contre le site Microsoft.com.

Ces nouveaux virus ne se propagent ni par e-mail ni via Kazaa (deadhat se propage via le réseau P2P SoulSeek), donc ne représente pas une menace pour les ordinateurs sains. Il reste néanmoins urgent pour les retardataires de procéder à l'éradication de Mydoom.A.



Liens en Anglais :
http://www.symantec.com/avcenter/venc/d ... juice.html
http://www.symantec.com/avcenter/venc/d ... adhat.html
Modifié en dernier par totoland le 26.02.2004 12:57, modifié 1 fois.
[align=center]"Quand une envie subite de travailler te prend. Allonges-toi et attends que ça passe"

Image[/align]

Avatar du membre
totoland
Administrateur
Administrateur
Messages : 4939
Enregistré le : 26.11.2002 11:29
Localisation : Lost somewhere

Bagle.B (17/02/04)

Message par totoland » 18.02.2004 18:25

Bagle.B est un virus qui se propage par email. Il se présente sous la forme d'un message dont le titre est "ID [lettres aléatoires]... thanks" et qui comporte un fichier joint dont le nom est aléatoire, avec une extension en .EXE. Si ce fichier est exécuté, le virus s'envoie aux adresses e-mail présentes dans le carnet d'adresses Windows ainsi que divers autres fichiers du disque dur, puis installe une porte dérobée permettant de prendre le contrôle à distance de l'ordinateur infecté.


Systèmes inpactés
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP


Parade :
Mettre à jour son anti-virus et ne surtout jamais ouvrir de pièces jointes de personnes que vous ne connaissez pas et/ou les pièces jointes qui ne vous parraissent pas clair ...
Modifié en dernier par totoland le 26.02.2004 12:57, modifié 1 fois.
[align=center]"Quand une envie subite de travailler te prend. Allonges-toi et attends que ça passe"

Image[/align]

Avatar du membre
totoland
Administrateur
Administrateur
Messages : 4939
Enregistré le : 26.11.2002 11:29
Localisation : Lost somewhere

WORM_NETSKY.B (18/02/04)

Message par totoland » 18.02.2004 18:26

Alerte virus :

Message aléatoirement généré possédant une pièce jointe de 22 ko. Tente de se propager par email et par tous les shares windows

Si vous executer ce fichier, il va créer un mutant en mémoire et peut généré un message disant que le fichier ne peut pas s'executer. Il se copie dans %WINDIR%\service.exe
Ajoute dans le registre de :
"service" = "%Windir%\services.exe -serv"
dans : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Supprime des entrées de registre comme taskmon et explorer et KaperskyAV

recherche des adresses email dans des fichiers et utilise les adresses trouvées pour se propager via son propre serveur SMTP interne.

Les messages générés peuvent avoir comme sujet :
hi
hello
read it immediately
something for you
warning
information
stolen
fake
unknown


et la pièce jointe :
document
msg
doc
talk
message
creditcard
details
attachment
me
stuff
posting
textfile
concert
information
note
bill
swimmingpool
product
topseller
ps
shower
aboutyou
nomoney
found
story
mails
website
friend
jokes
location
final
release
dinner
ranking
object
mail2
part2
disco
party
misc


avec différentes extensions ... mais l'extension est double !!! la deuxième extension étant :
.exe
.scr
.com
.pif


Crée 40 fichiers ZIP dans %WINDIR% du virus avec différents nom
[align=center]"Quand une envie subite de travailler te prend. Allonges-toi et attends que ça passe"

Image[/align]

Avatar du membre
totoland
Administrateur
Administrateur
Messages : 4939
Enregistré le : 26.11.2002 11:29
Localisation : Lost somewhere

MyDoom.F - 24/02/2004

Message par totoland » 24.02.2004 14:49

Mydoom.F est un virus qui se propage par email et via les dossiers partagés. Il se présente sous la forme d'un message dont le titre est aléatoire, avec un fichier joint (34 Ko) dont l'extension est .BAT, .CMD, .COM, .EXE, .PIF, .SCR ou .ZIP. Si ce fichier est exécuté, le virus s'envoie aux adresses figurant dans le carnet d'adresses Windows et divers autres fichiers, installe une porte dérobée autorisant le téléchargement et l'exécution de fichiers à l'insu de l'utilisateur, tente de désactiver certains antivirus et de supprimer certains fichiers en .AVI, .BMP, .DOC, .JPG, .MDB, .SAV et .XLS., puis selon la date lance une attaque contre les sites Microsoft.com et Riaa.com.

TYPE :
Ver

SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003

ALIAS :
Mydoom.F (F-Secure)
W32/Mydoom.f@MM (Mc Afee)
W32/MyDoom-F (Sophos)
W32.Mydoom.F@mm (Symantec)
WORM_MYDOOM.F (Trend Micro)



Le virus est enfin conçu pour lancer une attaque par déni de service contre les sites Microsoft.com ou Riaa.com lorsque la date du système est comprise entre le 17 et le 22 de chaque mois, jusqu'au 14 février 2006. Lors de la collecte des adresses email, il peut par ailleurs supprimer certains fichiers en .AVI, .BMP, .DOC, .JPG, .MDB, .SAV et .XLS., de manière aléatoire.
Modifié en dernier par totoland le 26.02.2004 12:58, modifié 1 fois.
[align=center]"Quand une envie subite de travailler te prend. Allonges-toi et attends que ça passe"

Image[/align]

Avatar du membre
totoland
Administrateur
Administrateur
Messages : 4939
Enregistré le : 26.11.2002 11:29
Localisation : Lost somewhere

Bizex (24/02/2004)

Message par totoland » 25.02.2004 10:19

Bizex est un virus qui cible les utilisateurs du logiciel de messagerie instantanée ICQ et se présente sous la forme d'un message qui les invite à visiter un site web"Jokeworld" piégé. Si le destinataire visite le site avec un navigateur Internet Explorer non à jour dans ses correctifs de sécurité, le virus infecte l'ordinateur à son insu, installe un troyen keylogger espionnant les frappes au clavier, puis tente de prendre le contrôle du logiciel ICQ afin d'envoyer un message à tous les contacts de la victime infectée pour les inviter à leur tour à visiter le site piégé. Ce dernier à toutefois été fermé.

TYPE :
Ver

SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003

ALIAS :
Worm.Win32.Bizex (KAV)
W32/Bizex.worm (Mc Afee)
W32/Bizex-A (Sophos)
W32.Bizex.Worm (Symantec)
Modifié en dernier par totoland le 26.02.2004 12:59, modifié 1 fois.
[align=center]"Quand une envie subite de travailler te prend. Allonges-toi et attends que ça passe"

Image[/align]

Avatar du membre
totoland
Administrateur
Administrateur
Messages : 4939
Enregistré le : 26.11.2002 11:29
Localisation : Lost somewhere

Netsky.C (26/02/2004)

Message par totoland » 26.02.2004 12:44

Netsky.C est un virus qui se propage par email et via les dossiers partagés. Il se présente sous la forme d'un message dont le titre et le corps sont aléatoires, avec un fichier joint (25 Ko) dont l'extension est .COM, .EXE, .PIF, .SCR ou .ZIP. Si ce dernier est exécuté, le virus s'envoie aux adresses présentes dans le carnet d'adresses Windows ainsi que divers autres fichiers du disque dur, puis tente le cas échéant de se propager via KaZaA et les dossiers mis en partage en s'y copiant sous divers noms aguicheurs.

TYPE :
Ver

SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003

ALIAS :
Moodown.C (F-Secure)
I-Worm.Moodown.c (Kaspersky)
W32/Netsky.c@MM (McAfee)
W32.Netsky.C@mm (Symantec)
WORM_NETSKY.C (Trend Micro)
Worm.Somefool


La pièce jointe possède un nom aléatoire et une extension en .COM, .SCR, .EXE, .PIF ou .ZIP. Quelques exemples :

* moonlight.zip
* object.zip
* mail2.zip
* party.com
* story.com
* release.rtf.exe
* me.zip
* release.zip
* nomoney.exe
* part2.zip
* document.zip
* final.exe
* location.zip
* creditcard.rtf.scr
* mail2.doc.com
* product.htm.exe
* incest.exe
* message.zip

Si le fichier joint est exécuté, le virus se copie dans le répertoire Windows sous le nom WINLOGON.EXE, modifie la base de registres afin d'être exécuté à chaque démarrage de l'ordinateur, puis s'envoie automatiquement aux contacts dont les adresses figurent dans le carnet d'adresses Windows ainsi que les fichiers .MSG, .OFT, .SHT, .DBX, .TBB, .ADB, .DOC, .ASP, .UIN, .RFT, .VBS, .HTML, .HTM, .PL, .PHP, .TXT, et .EML du disque dur, en utilisant comme adresse d'expéditeur une adresse usurpée ou falsifée.

Netsky.B tente également de désactiver les virus Mydoom.A, Mydoom.B et Mimail.T, ainsi que de se propager via les dossiers dont le nom comporte le mot "sharing" ou "share" (comme souvent KaZaa, Bearshare, etc.) en explorant les disques de C à Z et en s'y copiant sous divers noms aguicheurs :

* Microsoft WinXP Crack.exe
* Teen Porn 16.jpg.pif
* Adobe Premiere 9.exe
* Adobe Photoshop 9 full.exe
* Best Matrix Screensaver.scr
* Porno Screensaver.scr
* Dark Angels.pif
* XXX hardcore pic.jpg.exe
* Microsoft Office 2003 Crack.exe
* Serials.txt.exe
* Screensaver.scr
* Full album.mp3.pif
* Ahead Nero 7.exe
* Virii Sourcecode.scr
* E-Book Archive.rtf.exe
* Doom 3 Beta.exe
* How to hack.doc.exe
* Learn Programming.doc.exe
* WinXP eBook.doc.exe
* Win Longhorn Beta.exe
* Dictionary English - France.doc.exe
* RFC Basics Full Edition.doc.exe
* 1000 Sex and more.rtf.exe
* 3D Studio Max 3dsmax.exe
* Keygen 4 all appz.exe
* Windows Sourcecode.doc.exe
* Norton Antivirus 2004.exe
* Gimp 1.5 Full with Key.exe
* Partitionsmagic 9.0.exe
* Star Office 8.exe
* Magix Video Deluxe 4.exe
* Clone DVD 5.exe
* MS Service Pack 5.exe
* ACDSee 9.exe
* Visual Studio Net Crack.exe
* Cracks & Warez Archive.exe
* WinAmp 12 full.exe
* DivX 7.0 final.exe
* Opera.exe
* IE58.1 full setup.exe
* Smashing the stack.rtf.exe
* Ulead Keygen.exe
* Lightwave SE Update.exe
* The Sims 3 crack.exe
[align=center]"Quand une envie subite de travailler te prend. Allonges-toi et attends que ça passe"

Image[/align]

Avatar du membre
totoland
Administrateur
Administrateur
Messages : 4939
Enregistré le : 26.11.2002 11:29
Localisation : Lost somewhere

Bagle.C [E et F] (28/02/2004)

Message par totoland » 29.02.2004 20:06

Bagle.C est un virus qui se propage par email. Il se présente sous la forme d'un message dont le titre est aléatoire et dont le corps est vide, comportant un fichier joint (16 Ko) au nom aléatoire avec une extension en .ZIP. Si ce fichier est exécuté, le virus s'envoie aux adresses présentes dans le carnet d'adresses Windows ainsi que divers autres fichiers du disque dur, tente de désactiver certains antivirus et pare-feux personnels, puis installe une porte dérobée permettant la prise de contrôle à distance de l'ordinateur infecté.

TYPE :
Ver

SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003

ALIAS :
Bagle.C (F-Secure)
I-Worm.Bagle.c (Kaspersky)
W32/Bagle.c@MM (McAfee)
W32/Bagle-C (Sophos)
W32.Beagle.C@mm (Symantec)
WORM_BAGLE.C (Trend Micro)


TAILLE :
15.872 octets

Descriptif :
Le fichier joint possède un nom aléatoire avec une extension en .ZIP et contient un fichier exécutable en .EXE dont l'icône est souvent celle d'un fichier Microsoft Excel. Quelques exemples :

acdabd.zip
bbdadac.zip
daddabcdd.zip
abdb.zip

Si ce fichier est exécuté, le virus se copie dans le répertoire System sous le nom README.EXE ainsi que les fichiers ONDE.EXE, DOC.EXE et README.EXEOPEN, il lance le Notepad de Windows (notepad.exe) pour faire diversion, modifie la base de registres afin d'être exécuté à chaque démarrage de l'ordinateur, puis s'envoie automatiquement aux contacts dont les adresses figurent dans le carnet d'adresses Windows ainsi que les fichiers .ADB, .ASP, .CFG, .DBX, .EML, .HTM, .HTML, .MDX, .MMF, .NCH, .ODS, .PHP, .PL, .SHT et .TXT présents sur le disque dur (exceptées les adresses en @hotmail.com, @msn.com, @microsoft et @avp) avec une adresse d'expéditeur falsifiée. Cette adresse correspond le plus souvent à l'adresse d'un utilisateur réel, qui n'est en rien responsable de l'envoi du virus, afin qu'il soit impossible de prévenir la personne effectivement infectée.

Bagle.C installe une porte dérobée qui ouvre le port TCP 2745 de l'ordinateur infecté, puis tente de terminer les processus suivants pour empêcher l'utilisateur de mettre à jour les antivirus correspondants :

ATUPDATER.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVLTMAIN.EXE
AVPUPD.EXE
AVWUPD32.EXE
AVXQUAR.EXE
CFIAUDIT.EXE
DRWEBUPW.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
LUALL.EXE
MCUPDATE.EXE
NUPGRADE.EXE
NUPGRADE.EXE
OUTPOST.EXE
UPDATE.EXE
Le virus est conçu pour ne plus s'installer lorsque la date du système est égale ou supérieure au 14/03/04, et ne devrait donc plus se propager de manière massive à partir de cette date.

28/02/04 : une variante mineure Bagle.D (également nommée I-Worm.Bagle.d, W32/Bagle.d@MM, W32/Bagle-D, W32.Beagle.D@mm ou WORM_BAGLE.D) a été identifiée. Elle se distingue uniquement par le nom du mutex créé par le virus pour s'assurer qu'une seule copie de lui-même existe en mémoire ("iain_m2" au lieu de "imain_mutex").

28/02/04 : une variante mineure Bagle.E (également nommée I-Worm.Bagle.e, W32/Bagle.e@MM, W32/Bagle-E, W32.Beagle.E@mm ou WORM_BAGLE.E) a été identifiée. Elle se distingue uniquement par la taille du fichier infectant (17.344 octets pour le .ZIP et 17.222 octets pour le .EXE), du fait d'une méthode de compression différente.
[align=center]"Quand une envie subite de travailler te prend. Allonges-toi et attends que ça passe"

Image[/align]

Avatar du membre
totoland
Administrateur
Administrateur
Messages : 4939
Enregistré le : 26.11.2002 11:29
Localisation : Lost somewhere

Netsky.D [Moodown.D] (01/03/2004)

Message par totoland » 01.03.2004 18:18

Netsky.D est un virus qui se propage par email. Il se présente sous la forme d'un message dont le titre et le corps sont aléatoires, avec un fichier joint dont l'extension est .PIF (17 Ko). Si ce dernier est exécuté, le virus s'envoie automatiquement aux adresses présentes dans le carnet d'adresses Windows ainsi que divers autres fichiers du disque dur.

TYPE :
Ver

SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003

ALIAS :
Moodown.D (F-Secure)
I-Worm.Moodown.d (Kaspersky)
W32/Netsky.d@MM (McAfee)
W32.Netsky.D@mm (Symantec)
WORM_NETSKY.D (Trend Micro)
Worm.SomeFool.D

TAILLE :
17.424 octets

DECOUVERTE :
01/03/2004

DESCRIPTION DETAILLEE :
Le virus Netsky.D est une variante du virus Netsky.C. Il se présente sous la forme d'un message dont le titre, le corps et le nom du fichier joint sont aléatoires Les titres de message :

* Re: Your website
* Re: Your product
* Re: Your letter
* Re: Your archive
* Re: Your text
* Re: Your bill
* Re: Your details
* Re: My details
* Re: Word file
* Re: Excel file
* Re: Details
* Re: Approved
* Re: Your software
* Re: Your music
* Re: Here
* Re: Re: Re: Your document
* Re: Hello
* Re: Hi
* Re: Re: Message
* Re: Your picture
* Re: Here is the document
* Re: Your document
* Re: Thanks!
* Re: Re: Thanks!
* Re: Re: Document
* Re: Document

Le corps du message est un court texte plus ou moins anodin en anglais destiné à exciter la curiosité de l'internaute :

* Your file is attached.
* Please read the attached file.
* Please have a look at the attached file.
* See the attached file for details.
* Here is the file.
* Your document is attached.

La pièce jointe possède un nom aléatoire et une extension en .PIF :

* your_website.pif
* your_product.pif
* your_letter.pif
* your_archive.pif
* your_text.pif
* your_bill.pif
* your_details.pif
* document_word.pif
* document_excel.pif
* my_details.pif
* all_document.pif
* application.pif
* mp3music.pif
* yours.pif
* document_4351.pif
* your_file.pif
* message_details.pif
* your_picture.pif
* document_full.pif
* message_part2.pif
* document.pif
* your_document.pif

Si le fichier joint est exécuté, le virus se copie dans le répertoire Windows sous le nom WINLOGON.EXE, modifie la base de registres afin d'être exécuté à chaque démarrage de l'ordinateur, puis s'envoie aux contacts dont les adresses figurent dans le carnet d'adresses Windows ainsi que les fichiers .ADB, .ASP, .CGI, .DBX, .DHTM, .DOC, .EML, .HTM, .HTML, .MSG, .OFT, .PHP, .PL, .RFT, .SHT, .SHTM, .TBB, .TXT, .UIN et .VBS du disque, en utilisant comme adresse d'expéditeur une adresse usurpée ou falsifée.

Netsky.D tente également de désactiver les virus Mydoom.A, Mydoom.B, Mimail.T, Netsky.A et Netsky.B. Pour signaler sa présence, le virus fait enfin retentir le beeper de l'ordinateur infecté entre 6 h et 8h du matin le 02/03/04.
[align=center]"Quand une envie subite de travailler te prend. Allonges-toi et attends que ça passe"

Image[/align]

Avatar du membre
totoland
Administrateur
Administrateur
Messages : 4939
Enregistré le : 26.11.2002 11:29
Localisation : Lost somewhere

Bagle.H [Bagle.I] (01/03/2004)

Message par totoland » 03.03.2004 15:17

Bagle.H est un virus qui se propage par email. Il se présente sous la forme d'un message dont le titre et le corps sont aléatoires, accompagné d'un fichier joint comportant une extension en .ZIP (19 à 22 Ko) contenant un fichier exécutable .EXE et dont l'accès est protégé par un mot de passe, le mot de passe étant indiqué dans le corps du message. Si ce fichier est exécuté, le virus s'envoie aux adresses présentes dans le carnet d'adresses Windows ainsi que divers autres fichiers du disque dur, tente de désactiver certains antivirus et pare-feux personnels, installe une porte dérobée.

TYPE :
Ver

SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003

ALIAS :
Bagle.H (F-Secure)
I-Worm.Bagle.h (Kaspersky)
W32/Bagle.h@MM (McAfee)
W32/Bagle-H (Sophos)
W32.Beagle.H@mm (Symantec)
WORM_BAGLE.H (Trend Micro)

TAILLE :
19 à 22 Ko

DECOUVERTE :
01/03/2004

DESCRIPTION DETAILLEE :
Le virus Bagle.H est une variante du virus Bagle.F. Il se présente sous la forme d'un message dont le coprs ets vide et l'objet aléatoire :

* :-)
* Hokki =)
* Weah, hello! :-)
* Weeeeee! ;)))
* Hi! :-)
* ello! =))
* Hey, ya! =))
* ^_^ meay-meay!
* ^_^ meay-meay!
* ^_^ mew-mew (-:

Le corps du message est variable, et incite à ouvrir le fichier joint en fournissant le mot de passe qui protége l'accès au fichier ZIP :

* Hey, dude, it's me ^_^ :P
* Argh, i don't like the plaintext :)
* I don't bite, weah!
* Looking forward for a response :P

Le fichier joint possède un nom aléatoire avec une extension en .EXE dont l'icône est celle d'un dossier Windows. Les noms possibles :

* TextDocument.zip
* Readme.zip
* Msg.zip
* Msginfo.zip
* Document.zip
* Info.zip
* Attachedfile.zip
* Attacheddocument.zip
* TextDocument.zip
* Text.zip
* TextFile.zip
* Letter.zip
* MoreInfo.zip
* Message.zip

Si ce fichier est exécuté, le virus se copie dans le répertoire System sous le nom i11ru54n4.exe, ainsi que les fichiers go154o.exe, i1i5nj4.exe et i11ru54n4.exeopen, modifie la base de registres afin d'être exécuté à chaque démarrage de l'ordinateur, puis s'envoie aux contacts dont les adresses figurent dans le carnet d'adresses Windows ainsi que les fichiers .ADB, .ASP, .CFG, .DBX, .EML, .HTM, .HTML, .MDX, .MMF, .NCH, .ODS, .PHP, .PL, .SHT, .TBB, .TXT et .XML présents sur le disque dur (exceptées les adresses en @hotmail.com, @msn.com, @microsoft et @avp) avec une adresse d'expéditeur falsifiée. Cette adresse correspond le plus souvent à l'adresse d'un utilisateur réel, qui n'est en rien responsable de l'envoi du virus, afin qu'il soit impossible de prévenir la personne effectivement infectée.

Bagle.H installe une porte dérobée qui ouvre le port TCP 2745 de l'ordinateur infecté, puis tente de terminer les processus suivants pour empêcher l'utilisation ou la mise à jour des logiciels de sécurité correspondants :

* ATUPDATER.EXE
* ATUPDATER.EXE
* AUPDATE.EXE
* AUTODOWN.EXE
* AUTOTRACE.EXE
* AUTOUPDATE.EXE
* AVLTMAIN.EXE
* AVPUPD.EXE
* AVWUPD32.EXE
* AVXQUAR.EXE
* CFIAUDIT.EXE
* DRWEBUPW.EXE
* ICSSUPPNT.EXE
* ICSUPP95.EXE
* LUALL.EXE
* MCUPDATE.EXE
* NUPGRADE.EXE
* NUPGRADE.EXE
* OUTPOST.EXE
* UPDATE.EXE

Bagle.H tente enfin de se propager via les dossiers dont le nom comporte le mot "sharing" ou "share" (comme KaZaa, Bearshare, etc.) en s'y copiant sous divers noms aguicheurs :

* ACDSee 9.exe
* Adobe Photoshop 9 full.exe
* Ahead Nero 7.exe
* Matrix 3 Revolution English Subtitles.exe
* Microsoft Office 2003 Crack, Working!.exe
* Microsoft Office XP working Crack, Keygen.exe
* Microsoft Windows XP, WinXP Crack, working Keygen.exe
* Opera 8 New!.exe
* Porno pics arhive, xxx.exe
* Porno Screensaver.scr
* Porno, sex, oral, anal cool, awesome!!.exe
* Serials.txt.exe
* WinAmp 5 Pro Keygen Crack Update.exe
* WinAmp 6 New!.exe
* Windown Longhorn Beta Leak.exe
* Windows Sourcecode update.doc.exe
* XXX hardcore images.exe

Le virus est conçu pour ne plus se propager lorsque la date du système est égale ou supérieure au 25/03/04, mais il restera présent dans les systèmes déjà infectés, donc une désinfection restera nécessaire.

02/03/04 : une variante mineure Bagle.I (également nommée W32/Bagle.i@MM, W32/Bagle-I, W32.Beagle.I@mm ou WORM_BAGLE.I) a été identifiée. Elle se distingue essentiellement par l'utilisation d'une méthode de compression de code différente pour tenter d'éviter la détection générique.
[align=center]"Quand une envie subite de travailler te prend. Allonges-toi et attends que ça passe"

Image[/align]

Avatar du membre
totoland
Administrateur
Administrateur
Messages : 4939
Enregistré le : 26.11.2002 11:29
Localisation : Lost somewhere

Bagle.J (03/03/2004)

Message par totoland » 04.03.2004 21:16

Bagle.J est un virus qui se propage par email et via les dossiers partagés. Il se présente sous la forme d'un message dont le titre et le corps sont aléatoires, accompagné d'un fichier joint avec une extension en .EXE, .PIF ou .ZIP (12 à 13 Ko). Le virus usurpe l'identité du prestataire de messagerie du destinataire et prétexte un problème technique ou la fourniture d'un antivirus gratuit pour l'inciter à exécuter le fichier joint. Si ce fichier est exécuté, le virus s'envoie aux adresses présentes dans le carnet d'adresses Windows ainsi que divers autres fichiers, tente de désactiver certains antivirus et pare-feux personnels, installe une porte dérobée, puis tente le cas échéant de se propager via KaZaA et les dossiers mis en partage.


TYPE :
Ver

SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003

ALIAS :
Bagle.J (F-Secure)
I-Worm.Bagle.i (Kaspersky)
W32/Bagle.j@MM (McAfee)
W32/Bagle-J (Sophos)
W32.Beagle.J@mm (Symantec)
WORM_BAGLE.J (Trend Micro)

TAILLE :
12,288 Ko

DECOUVERTE :
02/03/2004

DESCRIPTION DETAILLEE :
Le virus Bagle.J est une variante du virus Bagle.A. Il se présente sous la forme d'un message dont le coprs ets vide et l'objet aléatoire :

* E-mail account security warning.
* Notify about using the e-mail account.
* Warning about your e-mail account.
* Important notify about your e-mail account.
* Email account utilization warning.
* Notify about your e-mail account utilization.
* E-mail account disabling warning.

Le corps du message est variable, et incite à ouvrir le fichier joint en fournissant