Virus Bagle + Virus Novarg
Virus Bagle + Virus Novarg
Le dernier virus à la mode s'appelle Bagle. Il se présente sous la forme d'un message dont le titre est "Hi" et qui comporte un fichier joint dont le nom est aléatoire, avec une extension en .exe et dont l'icône est celle de la calculatrice Windows.
Pas de gros danger, mais j'en reçois un toutes les 10 minutes donc ça commence à bien faire...
Pas de gros danger, mais j'en reçois un toutes les 10 minutes donc ça commence à bien faire...
Time is an illusion. Lunchtime doubly so.
- Bernadette
- Membre / Member
- Posts: 1867
- Joined: 10 May 2003 12:01
- Location: FRANCE
- Bernadette
- Membre / Member
- Posts: 1867
- Joined: 10 May 2003 12:01
- Location: FRANCE
J'ai bien un filtre, donc les fichiers ne passent pas, mais les mails sont bien obligés d'arriver quand même. Et puis on en a déjà parlé et je sais que nos opinions divergent à ce sujet, mais ce que j'aimerais filtrer c'est tous les mails envoyés automatiquement et censés prévenir qu'on est l'expéditeur d'un virus, alors que les virus modifient les adresses de l'expéditeur ou les composent eux-mêmes. Ces mails inutiles sont encore plus nombreux que les virus eux-mêmes. Sur le "catchall" de freelang.net je ne reçois quasiment que ça. Pour moi ça se range dans la même catégorie que les spams et les virus, c'est une nuisance.Latinus wrote:une petite règle de filtrage ?
Time is an illusion. Lunchtime doubly so.
Je m'explique, car tout le monde n'est pas censé le savoir : le catchall c'est ce qui permet de récupérer le courrier de tout un domaine, en l'occurrence freelang.net, pour les adresses qui n'existent pas. Si vous écrivez à casimir/at/freelang.net, c'est une adresse fictive, mais ça arrivera chez moi quand même, parce que le domaine freelang.net m'appartient et que j'ai activé le catchall.Beaumont wrote:Sur le "catchall" de freelang.net je ne reçois quasiment que ça.
Le problème c'est que les virus du type Sobig savent que ce domaine existe, et ils composent des adresses d'expéditeurs du type shmurtz987987987/at/freelang.net. Donc celui qui reçoit le virus, s'il ne s'y connaît pas trop, pense que le virus lui a été envoyé via le site freelang.net.
Mais ça ne s'arrête pas là. Là où je suis en rage, c'est que certains serveurs de mails, en reconnaissant le virus, bloquent le message et le renvoient à l'expéditeur, donc ma pomme ! Donc je reçois des dizaines de messages d'alerte tous les jours, pour me signaler que j'ai essayé d'envoyer tel virus à machin et à bidule. Ca consomme du temps et de la bande passante pour rien. Le plus absurde, c'est que le serveur est paramétré pour reconnaître Sobig, par exemple, mais que personne n'a pensé que Sobig (et la plupart des virus) utilisait une fausse adresse expéditeur et que c'était donc inutile de prévenir le propriétaire de l'adresse.
Je précise que désactiver le catchall ne changerait rien, puisque les virus utilisent aussi bien des adresses fictives que des adresses existantes.
Time is an illusion. Lunchtime doubly so.
-
- Guest
Ver W32/Bagle@MM
---------------
Ce ver/virus Internet se propage par le biais de la messagerie
electronique.
Il se cache dans la piece jointe d'un message presentant les
caracteristiques suivantes:
Expediteur: adresse probablement usurpee/fabriquee
Sujet: Hi
Corps du message:
Test =)
(caracteres aleatoires)
- --
Test, yep.
Piece jointe: (nom de fichier aleatoire avec l'extension .exe)
taille du fichier: 15,872 octets
On pourrait ainsi avoir par exemple: frjujs.exe
Entre autres actions, il semble qu'une fois active, le ver
- place une copie de lui meme (bbeagle.exe) dans le repertoire
systeme de Windows,
- cree les cles de registre:
* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"d3dupdate.exe" = C:\WINNT\System32\bbeagle.exe
* HKEY_CURRENT_USER\Software\Windows98 "frun"
* HKEY_CURRENT_USER\Software\Windows98 "uid"
- recolte des adresses de correspondants dans un certain nombre
de fichiers trouves sur le disque contamine,
- essaierait de telecharger le cheval de Troie Mitglieder d'apres
F-Secure,
- se met en attente de connexions sur le port 6777/tcp et tente a
priori de notifier son auteur de l'infection d'un nouveau systeme
en essayant de se connecter sur divers sites web (choisis dans une
liste codee en dur dans son programme) sur lequel il cherche a
acceder a un script nomme 1.php. A priori, il n'a pas ete, pour
l'instant possible de recuperer une copie de ce script pour
analyse.
Il semble que ce ver se propage en ce moment. Cependant il
est programme pour cesser toute action le 28 Janvier 2004.
Bien que la menace ne soit pas tres elevee (evaluee au niveau 2
ou moyen chez la pulpart des editeurs) nous publions cette description
car nous en avons recu quelques exemplaires.
Pour de plus amples details, notamment des descriptions techniques
des modifications apportees au systeme, consulter:
http://securityresponse.symantec.com/av ... .a@mm.html
http://www.trendmicro.com/vinfo/virusen ... RM_BAGLE.A
http://www.f-secure.com/v-descs/bagle.shtml
http://vil.nai.com/vil/content/v_100965.htm
http://www.sophos.com/virusinfo/analyses/w32baglea.html
http://www.ravantivirus.com/virus/showvirus.php?v=204
La plupart de ces liens donnent des indications sur les mesures a
suivre pour la desinfection de systemes contamines
---------------
Ce ver/virus Internet se propage par le biais de la messagerie
electronique.
Il se cache dans la piece jointe d'un message presentant les
caracteristiques suivantes:
Expediteur: adresse probablement usurpee/fabriquee
Sujet: Hi
Corps du message:
Test =)
(caracteres aleatoires)
- --
Test, yep.
Piece jointe: (nom de fichier aleatoire avec l'extension .exe)
taille du fichier: 15,872 octets
On pourrait ainsi avoir par exemple: frjujs.exe
Entre autres actions, il semble qu'une fois active, le ver
- place une copie de lui meme (bbeagle.exe) dans le repertoire
systeme de Windows,
- cree les cles de registre:
* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"d3dupdate.exe" = C:\WINNT\System32\bbeagle.exe
* HKEY_CURRENT_USER\Software\Windows98 "frun"
* HKEY_CURRENT_USER\Software\Windows98 "uid"
- recolte des adresses de correspondants dans un certain nombre
de fichiers trouves sur le disque contamine,
- essaierait de telecharger le cheval de Troie Mitglieder d'apres
F-Secure,
- se met en attente de connexions sur le port 6777/tcp et tente a
priori de notifier son auteur de l'infection d'un nouveau systeme
en essayant de se connecter sur divers sites web (choisis dans une
liste codee en dur dans son programme) sur lequel il cherche a
acceder a un script nomme 1.php. A priori, il n'a pas ete, pour
l'instant possible de recuperer une copie de ce script pour
analyse.
Il semble que ce ver se propage en ce moment. Cependant il
est programme pour cesser toute action le 28 Janvier 2004.
Bien que la menace ne soit pas tres elevee (evaluee au niveau 2
ou moyen chez la pulpart des editeurs) nous publions cette description
car nous en avons recu quelques exemplaires.
Pour de plus amples details, notamment des descriptions techniques
des modifications apportees au systeme, consulter:
http://securityresponse.symantec.com/av ... .a@mm.html
http://www.trendmicro.com/vinfo/virusen ... RM_BAGLE.A
http://www.f-secure.com/v-descs/bagle.shtml
http://vil.nai.com/vil/content/v_100965.htm
http://www.sophos.com/virusinfo/analyses/w32baglea.html
http://www.ravantivirus.com/virus/showvirus.php?v=204
La plupart de ces liens donnent des indications sur les mesures a
suivre pour la desinfection de systemes contamines
Attention au virus "I-Worm.Novarg" qui est très actif depuis aujourd'hui, j'en reçois un environ toutes les deux minutes sur l'adresse forummaster depuis aujourd'hui.
Le virus est joint au mail dans un fichier du genre:
doc.zip
bidule.scr
bidule.pif
etc...
Le virus est joint au mail dans un fichier du genre:
doc.zip
bidule.scr
bidule.pif
etc...
Les courses hippiques, lorsqu'elles s'y frottent.
oui le novarg je le reçois énormément aussi, et essentiellement des serveurs de messageries qui me renvoient un mail ET la pièce jointe virus, sont cons !
Sinon hier dans la boîte on a été infecté par le Dumaru.Y
Les collègues non informaticiens ayant l'habitude de s'envoyer très régulièrement des bétises, images et powerpoint rigolos... n'ont rien vu venir, ont ouvert le zip, et double clické sur le fichier
et puis là, allô mon clavier est bloqué... et boum! dans la minute qui a suivit 20 mails virus !
Sur 300 personnes, y'en a 15 ou 20 qui l'ont réellement ouvert, mais y'en a pleins qui ont essayés, et, pas doués comme ils sont, n'ont pas réussi à l'ouvrir
Sinon hier dans la boîte on a été infecté par le Dumaru.Y
Les collègues non informaticiens ayant l'habitude de s'envoyer très régulièrement des bétises, images et powerpoint rigolos... n'ont rien vu venir, ont ouvert le zip, et double clické sur le fichier
Code: Select all
chépakoi.jpg .exe
Sur 300 personnes, y'en a 15 ou 20 qui l'ont réellement ouvert, mais y'en a pleins qui ont essayés, et, pas doués comme ils sont, n'ont pas réussi à l'ouvrir
A+ les cactus !
A izza i ana sacranou
Askaratni kaasoun kaasoun khalidah
Ana mal' anou bihoubbinn raasikhinn
Lan yatroukani abada...
A izza i ana sacranou
Askaratni kaasoun kaasoun khalidah
Ana mal' anou bihoubbinn raasikhinn
Lan yatroukani abada...
-
- Guest