Nouveau virus

local port scan (LPS) : un logiciel pour en savoir plus

Resultat du scan de mon PC (ports ouvert)

Sophos a reçu de nombreux signalements de ce ver.

W32/Bugbear-A est un ver réseau. W32/Bugbear-A se propage en envoyant des e-mails contenant des pièces jointes et en recherchant des ressources partagées de votre réseau sur lesquelles se copier.

Veuillez remarquer que W32/Bugbear-A essaie de se copier sur n'importe quel type de ressource réseau partagée, incluant les imprimantes. Les imprimantes ne peuvent pas être infectées mais essaieront d'imprimer les données binaires du code exécutable de Bugbear. Ceci résulte en général dans le gaspillage de nombreuses feuilles de papier.

Le ver essaie d'exploiter une faille MIME et une faille IFRAME présentes dans certaines versions de Microsoft Outlook, Microsoft Outlook Express et Internet Explorer. Ces failles permettent à une pièce jointe exécutable d'être lancée automatiquement même si vous ne double-cliquez pas sur la pièce jointe. Microsoft a publié un correctif qui adresse ces failles. Ce correctif peut être téléchargé à partir du Bulletin de Sécurité Microsoft MS01-027. (Ce correctif a été publié pour corriger un certain nombre de failles dans les logiciels Microsoft, incluant celle exploitée par ce ver.)

Si le ver est activé, plusieurs nouveaux fichiers apparaîtront sur l'ordinateur. Leurs noms sont composés de lettres de l'alphabet choisies aléatoirement par le ver. Vous trouverez :

xxx.EXE (généralement 50688 octets) dans le dossier Startup

yyyy.EXE (généralement 50688 octets) dans le dossier System

zzzzzzz.DLL (généralement 5632 octets) dans le dossier System

Les deux fichiers EXE sont des copies exécutables du ver. Le fichier DLL est un outil de capture des touches saisies au clavier qui est utilisé par le ver lorsque celui-ci est activé.

Non seulement le ver s'ajoute dans le dossier Startup mais il ajoute aussi dans la base de registre une entrée sous la clé suivante

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce

Cela signifie que le ver sera réactivé lorsque l'ordinateur redémarrera.

Le ver se propage lui-même via e-mail. Les e-mails n'ont pas de corps de message mais les objets suivants :

Hello!
update
Payment notices
Just a reminder
Correction of errors
history screen
Announcement
various
Introduction
Interesting...
I need help about script!!!
Please Help...
Report
Membership Confirmation
Get a FREE gift!
Today Only
New Contests
Lost & Found
bad news
fantastic
click on this!
Market Update Report
empty account
My eBay ads
25 merchants and rising
CALL FOR INFORMATION!
new reading
Sponsors needed
SCAM alert!!!
Warning!
its easy
free shipping!
Daily Email Reminder
Tools For Your Online Business
New bonus in your cash account
Your Gift
$150 FREE Bonus!
Your News Alert
Get 8 FREE issues - no risk!
Greets!

Les pièces jointes peuvent avoir le même nom de fichier qu'un autre fichier sur l'ordinateur de la victime mais ils peuvent contenir la chaîne de caractères suivante :

Readme
Setup
Card
Docs
News
Image
Images
Pics
Resume
Photo
Video
Music
Song
Data

Les pièces jointes ont une double extension avec la dernière extension étant EXE, SCR ou PIF.

Veuillez remarquer que le ver peut usurper les champs De et Répondre A dans les e-mail qu'il envoie.

W32/Bugbear-A a un processus s'exécutant en fond de tâche qui essaie d'arrêter les programmes antivirus et de sécurité portant l'un des noms suivants :

ZONEALARM.EXE, WFINDV32.EXE, WEBSCANX.EXE, VSSTAT.EXE, VSHWIN32.EXE, VSECOMR.EXE, VSCAN40.EXE, VETTRAY.EXE, VET95.EXE, TDS2-NT.EXE, TDS2-98.EXE, TCA.EXE, TBSCAN.EXE, SWEEP95.EXE, SPHINX.EXE, SMC.EXE, SERV95.EXE, SCRSCAN.EXE, SCANPM.EXE, SCAN95.EXE, SCAN32.EXE, SAFEWEB.EXE, RESCUE.EXE, RAV7WIN.EXE, RAV7.EXE, PERSFW.EXE, PCFWALLICON.EXE, PCCWIN98.EXE, PAVW.EXE, PAVSCHED.EXE, PAVCL.EXE, PADMIN.EXE, OUTPOST.EXE, NVC95.EXE, NUPGRADE.EXE, NORMIST.EXE, NMAIN.EXE, NISUM.EXE, NAVWNT.EXE, NAVW32.EXE, NAVNT.EXE, NAVLU32.EXE, NAVAPW32.EXE, N32SCANW.EXE, MPFTRAY.EXE, MOOLIVE.EXE, LUALL.EXE, LOOKOUT.EXE, LOCKDOWN2000.EXE, JEDI.EXE, IOMON98.EXE, IFACE.EXE, ICSUPPNT.EXE, ICSUPP95.EXE, ICMON.EXE, ICLOADNT.EXE, ICLOAD95.EXE, IBMAVSP.EXE, IBMASN.EXE, IAMSERV.EXE, IAMAPP.EXE, FRW.EXE, FPROT.EXE, FP-WIN.EXE, FINDVIRU.EXE, F-STOPW.EXE, F-PROT95.EXE, F-PROT.EXE, F-AGNT95.EXE, ESPWATCH.EXE, ESAFE.EXE, ECENGINE.EXE, DVP95_0.EXE, DVP95.EXE, CLEANER3.EXE, CLEANER.EXE, CLAW95CF.EXE, CLAW95.EXE, CFINET32.EXE, CFINET.EXE, CFIAUDIT.EXE, CFIADMIN.EXE, BLACKICE.EXE, BLACKD.EXE, AVWUPD32.EXE, AVWIN95.EXE, AVSCHED32.EXE, AVPUPD.EXE, AVPTC32.EXE, AVPM.EXE, AVPDOS32.EXE, AVPCC.EXE, AVP32.EXE, AVP.EXE, AVNT.EXE, AVKSERV.EXE, AVGCTRL.EXE, AVE32.EXE, AVCONSOL.EXE, AUTODOWN.EXE, APVXDWIN.EXE, ANTI-TROJAN.EXE, ACKWIN32.EXE, _AVPM.EXE, _AVPCC.EXE, _AVP32.EXE

Le composant de capture de touches de W32/Bugbear-A (le fichier DLL) intercepte les entrées clavier afin qu'il enregiste celles-ci en mémoire. Lorsque l'utilisateur se connecte à internet en utilisant une connexion par modem, le ver envoie ces informations à l'une des adresses e-mail distantes suivantes :

mshaw@hispostbox.com
mannchris@gala.net
gili_zbl@yahoo.com
c.willoughby@myrealbox.com
brdlhow@ml1.net
sc4579@excite.com
jwwatson@excite.com
stevechurchis@excite.com
langobaden@excite.com
jacopo58@excite.com
sctanner@myrealbox.com
erisillen@canada.com
sergio52@mac.com
rvre2736@fairesuivre.com
zr376q@yahoo.com
t435556@email.it
sdsdfsf@callme.as
boxhill@teach.com
stickly@login.pe.kr
vique@aggies.org
sm2001@mail.gerant.com
rwilson@singmail.com

W32/Bugbear-A ouvre le port 36794 et attend des commandes provenant d'une machine distante. Selon la commande issue, l'utilisateur distant peut tenter les manipulations suivante sur l'ordinateur de la victime :

Retrouver les mots de passe cachés sous une forme cryptée
Télécharger et exécuter un fichier
Rechercher des fichiers
Supprimer des fichiers
Exécuter des fichiers
Copier des fichiers
Ecrire sur des fichiers
Lister les processus
Arrêter des processus
Retrouver des informations telles que le nom utilisateur, le type de processeurs, la version de Windows, des informations sur la mémoire (mémoire utilisée, mémoire libre, etc), des informations sur le lecteur (types des disques locaux disponibles,, espace libre sur ces lecteurs, etc).

L'utilisateur distant peut aussi tenter d'ouvrir le port 80 (HTTP) sur l'ordinateur de la victime puis de se connecter à un serveur Web de porte dérobée (propablement un serveur Web Apache du type 1.3.26) fourni par W32/Bugbear-A et donc de contrôler l'ordinateur infecté.

Exemple d'un utilisateur distant accédant à un ordinateur infecté en utilisant la porte dérobée

Exemple d'un utilisateur distant accédant à un ordinateur infecté en utilisant la porte dérobée

Exemple d'un utilisateur distant accédant à un ordinateur infecté en utilisant la porte dérobée

Installez le fichier IDE pour W32/Bugbear-A sur l'ordinateur a désinfecter.

Windows 95/98/Me

Pour Windows 95/98, allez dans le menu Démarrer et sélectionnez Arrêter. Choisissez l'option "Redémarrer l'ordinateur en mode MS-DOS". Sous Windows Me, créez une disquette de démarrage (en anglais) puis démarrez avec.

A l'invite de commandes, entrez :

C:
CD \PROGRA~1\SOPHOS~1
SWEEP C: -REMOVEF

Supprimez les fichiers du ver lorsque vous y êtes invité. Lancez un autre contrôle afin de s'assurer que le ver a été supprimé. Répétez ce processus sur tout les autres disques durs (par ex. SWEEP D: - REMOVEF pour le lecteur D:).

Redémarrez l'ordinateur sous Windows et réaliser un nouveau contrôle sous Windows.

Windows NT/2000/XP

Fermez la session courante et connectez-vous en tant qu'administrateur local.

Utilisez les touches Ctrl, Alt et Suppr. Cliquez sur le boutton 'Gestionnaire des tâches' et sélectionnez l'onglet 'Processus'. Recherchez un processus avec un nom aléatoire de quatre lettres. Mettez-le en sur-brillance et cliquez sur 'Terminer le processus'. (Si nécessaire, exécutez un contrôle avec Sophos Anti-Virus et notez les noms des fichiers infectés. L'un d'entre eux aura le même nom que le processus).

Dans la barre des tâches, sélectionnez Démarrer|Programmes|Sophos Anti-Virus et exécutez le programme 'Sophos Anti-Virus'.

Supprimez tout les fichiers de W32/Bugbear-A.

Exécutez un autre contrôle afin de confirmer la suppression du ver.

Autres plates-formes

Veuilllez lire les instructions pour supprimer les vers.

Remarque : W32/Bugbear-A inclut un programme ce capture de touches saisies. Vous devriez changer vos mots de passe, noms utilisateur ou autres informations compromises.

Le ver crée aussi deux fichiers DLL supplémentaires nommés aléatoirement dans votre répertoire système. Ceux-ci contiennent des données cryptées sauvegardées par le ver mais ne sont pas infectieux. Sophos Anti-Virus ne les détectera pas. Vous pouvez les supprimer si vous le désirez mais ils ne représentent aucun danger pour votre PC.

Sophos a aussi publié un outil de désinfection gratuit pour W32/Bugbear-A.

A lire : Plus d'information sur la protection contre W32/Bugbear-A sont disponibles à la page W32/Bugbear-A : Informations, protection et désinfection.