VIRUS - Sortie du Bagle .AY

Post� le: Jeu Jan 27, 2005 08:45 Sujet du message: VIRUS - Sortie du Bagle .AY

Bagle.AY est un virus (decouvert le 26/01/05) qui se propage par courriel et via les r�seaux de partage de fichiers.
Il se pr�sente sous la forme d'un message dont le titre et le corps sont al�atoires, accompagn� d'un fichier joint avec une extension en .COM, .CPL, .EXE ou .SCR (18 Ko).

Si ce fichier est ex�cut�, le virus se copie dans le r�pertoire syst�me sous le nom sysformat.exe, ainsi que les fichiers sysformat.exeopen et sysformat.exeopenopen, modifie la base de registres afin d'�tre ex�cut� � chaque d�marrage de l'ordinateur, installe une porte d�rob�e permettant la prise de contr�le � distance, puis tente de se copier dans les dossiers mis en partage,puis s'envoie automatiquement aux contacts dont les adresses figurent dans le carnet d'adresses Windows ainsi que les fichiers:
.ADB, .ASP, .CFG, .CGI, .DBX, .DHTM, .EML, .HTM, .JSP, .MBX, .MDX, .MHT, .MMF, .MSG, .NCH, .ODS, .OFT, .PHP, .PL, .SHT, .SHTM, .STM, .TBB, .TXT, .UIN, .WSH, .XLS et .XML pr�sents sur le disque avec son propre moteur SMTP, en utilisant une adresse d'exp�diteur falsifi�e.

Bagle.AY d�sactive certaines variantes du virus concurrent Netsky, installe une porte d�rob�e qui ouvre le port TCP 2339 et permet la prise de contr�le � distance de l'ordinateur infect�, tente de t�l�charger un fichier error.jpg depuis une liste de plusieurs centaines de sites web, puis tente de d�sactiver une liste de plus de 300 antivirus et autres outils de s�curit�.
Le virus tente enfin de se propager via les dossiers dont le nom comporte le mot "shar" (KaZaa, Bearshare, etc.) en s'y copiant sous divers noms aguicheurs.

<< SUITE >>

Post� le: Jeu Jan 27, 2005 11:29 Sujet du message:

ah ben tiens!! je viens juste de le lire ce matin ca!!

encore des p^tins de virus dans des fichiers raccoleurs?
je ne le repeterai jamais assez: je n'ouvre jamais ce genre de fichiers alors no soucy pour moi

faites en de meme lorsque vous recevez des fichiers inconnus NE LES OUVREZ PAS ILS SONT FAUX!!!!!
_________________
respecter les autres c'est se respecter soi m�me.

http://i16.servimg.com/u/f16/11/21/74/24/sigmou10.jpg

Post� le: Jeu Jan 27, 2005 14:34 Sujet du message:

merci pour l'info titine
_________________
Sleon une �dtue de l' uvinertis� de Cmabrigde, l'odrre des ltteers dnas un mtos n'a pas d'ipmrotncae, la suele coshe ipmrotnate est que la pmeir�re et la dren�ire soit � la bnnoe pclae. Le rsete peut �rte dnas un ds�rorde ttoal et vuos puoevz tujoruos lrie snas porlbl�me. C'est prace que le creaveu hmauin ne lit pas chuaqe ltetre elle-mm�e, mias le mot cmome un tuot.

Post� le: Jeu Jan 27, 2005 14:38 Sujet du message:

kaspersky d�tecte ce virus titine ?
_________________
Il vaut mieux suivre le bon chemin en boitant que le mauvais d'un pas ferme

http://img391.imageshack.us/img391/8246/159vgnf202wd.gif

Post� le: Jeu Jan 27, 2005 14:57 Sujet du message:

Il suffit de regarder sur leur site pour avoir la r�ponse, drudown...
http://www.viruslist.com/en/alerts?alertid=158311147

Post� le: Jeu Jan 27, 2005 15:36 Sujet du message:

Pfffffffffff encore un virus merci pour l'info titine.
_________________
L'erreur est humaine mais le pardon est divin.

ath�na exclamation!!!

Post� le: Jeu Jan 27, 2005 15:56 Sujet du message:

drudown pour ne pas l'attraper c'est simple , n'ouvre pas ce que tu ne connais pas ;-)

une fois activ� (si tu l'as ouvert) :

Post� le: Sam Jan 29, 2005 13:05 Sujet du message:

Pour son anniversaire, Bagle revient en force

Les nouvelles versions du ver se diffuserait rapidement.
Happy Birthday...

Rep�r�es par la plupart des �diteurs de s�curit�, les �ni�mes variantes de Bagle (Bagle.AY chez Kaspersky, Bagle.BJ chez McAfee) se propagent actuellement sur les r�seaux.
Ces nouvelles versions appara�ssent un an apr�s la diffusion du premier Bagle, un des vers les plus virulents de 2004.

Comme d'habitude, Bagle se transmet via les messageries de mails (mass-mailer).
Il est accompagn� d'une pi�ce jointe: un fichier ex�cutable Windows dont la taille est de 19 Ko.
Il est attach� � des messages dont l'objet est al�atoire: "Delivery service mail, Delivery by mail, Registration is accepted, Is delivered mail, You are made active".

Le texte du message est �Thanks for use of our software� ou �Before use read the help�.
Le nom du fichier attach� est �galement al�atoire - �wsd01, viupd02, siupd02, guupd02, zupd02, upd02, Jol03�.

Une fois ex�cut�, le ver envoie alors sa copie dans le r�pertoire syst�me Windows et enregistre ce fichier dans la base de registre.
Il ouvre alors le port 2339 afin d'offrir le poste infect� aux attaques distantes.
Il tente ensuite de d�sactiver les solutions de s�curit� qui prot�gent l'ordinateur victime et le sous-r�seau local.
La machine victime devient alors vuln�rable � toutes attaques par des programmes malicieux.

Pour se propager, Bagle scanne le syst�me de fichiers de la victime pour collecter les adresses e-mails auxquelles il s'envoie.
A noter toutefois qu'il ne s'envoie pas � des adresses ayant une connexion quelconque avec l'industrie antivirus ou avec des �diteurs de logiciels importants.
Cela explique le fait que les soci�t�s antivirus n'aient re�u que peu d'�chantillons de cette nouvelle variante de Bagle.
Le ver �tablit un lien direct avec les serveurs SMTP pour envoyer les messages infect�s.

Et pour inonder plus rapidement les r�seaux, le ver se propage � travers les r�seaux P2P et les r�seaux de ressources partag�es.
Il cherche des r�pertoires comportant la particule �shar � dans leur nom. Bagle se place alors dans ces fichiers sous des noms qui ressemblent � des applications et utilitaires r�pandus.

Par Olivier Chicheportiche Pour Silicon