| maxi |
TROUVE SUR LE NET
Badtrans.B
Badtrans.B est une variante du virus Badtrans. Ce virus de mail résident se présente sous la forme d'un message vide accompagné d'un fichier joint souvent non visible dont le nom est composé aléatoirement à partir d'un nom parmi FUN, HUMOR, DOCS, S3MSONG, Sorry_about_yesterday, ME_NUDE, CARD, SETUP, SEARCHURL, YOU_ARE_FAT!, HAMSTER, NEWS_DOC, New_Napster_Site, README, IMAGES, PICS puis une extension .DOC., .MP3. ou .ZIP., puis une seconde extension .pif ou .scr (visible uniquement si Windows est configuré pour afficher toutes les extensions), donc par exemple NEWS_DOC.MP3.scr. Le sujet du message est une réponse à un mail précédemment envoyé au correspondant infecté, afin de ne pas éveiller la méfiance du destinataire ("Re:" ou "Re: [titre du mail]" ).
Le virus s'exécute automatiquement à l'ouverture du mail ou lors de son affichage dans la fenêtre de prévisualisation d'Outlook, si le navigateur est une version d'Internet Explorer 5.01 ou 5.5 non patchée contre une vulnérabilité MIME connue. Même lorsque le patch a été appliqué, l'ouverture ou la prévisualisation du message peut déclencher automatiquement une fenêtre invitant à ouvrir ou enregistrer le fichier joint.
Si le fichier joint est exécuté, le virus se copie dans le répertoire System de Windows sous le nom Kernel32.exe, modifie la base de registre pour s'exécuter automatique au prochain démarrage, puis s'envoie automatiquement en répondant à tous les messages non lus de la boîte de réception ainsi qu'aux adresses emails trouvées dans les pages HTML et ASP du répertoire Mes Documents et du cache internet en ajoutant un caractère "_" à l'adresse de l'expéditeur afin de faire échouer les mails envoyés en retour pour le prévenir (il faut donc corriger l'adresse après avoir pressé le bouton "Répondre à" ). Le virus continue ensuite à s'envoyer à chaque nouveau correspondant envoyant un mail à la personne infectée ou à laquelle cette personne écrit. Badtrans.B installe enfin dans le répertoire System la backdoor PSW Hooker sous le nom KDLL.DLL : cette dernière enregistre les frappes au clavier lorsqu'une fenêtre Windows contient un mot-clé sensible ("log", "pass", "rem", "con", "ter", "net" ), stocke les informations dans un fichier cp_25389.nls, puis les envoie périodiquement à plusieurs adresses emails.
En cas d'infection, comblez la faille exploitée par le virus pour s'exécuter automatiquement en appliquant ce correctif (IE 5.01 et 5.5), exécutez l'utilitaire FIX_BADTRANSB (cliquez sur le bouton "Start" pour commencer), redémarrez l'ordinateur, exécutez une nouvelle fois l'utilitaire pour être certain de l'absence du virus, puis changez les mots de passe concernés au cas où des données sensibles auraient quitté votre ordinateur. Désinfection manuelle : démarrez en mode sans échec (Windows 95/98/Me) ou terminez le processus Kernel32.exe via le gestionnaire des tâches (Windows NT/2000/XP), supprimez les fichiers CP_25389.NLS, Kernel32.exe et Kdll.dll, supprimez l'entrée HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ RunOnce\kernel32 = ?kernel32.exe? dans la base de registres (uniquement si vous savez comment procéder), puis redémarrer l'ordinateur et enfin changez les mots de passe concernés. |
