Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Myki

Le virus Bagle bat des records de variantes

Messages recommandés

Le virus Bagle bat des records de variantes

 

Pas moins de cinq versions de Bagle sont apparues ces derniers jours. Bagle.C se distingue du lot par ses capacités de diffusion.

 

Parmi les récentes variantes de MyDoom, Netsky et autres Nachi, il est un virus qui se distingue du lot, pas tant par sa puissance de nuisance mais par le nombre de ses versions. De C à G, le virus-ver Bagle a en effet connu cinq variantes ces derniers jours. Bagle.C se montrerait particulièrement virulent selon l'éditeur d'antivirus Sophos.

 

Comme d'habitude, il s'agit d'un ver qui se propage grâce à son propre serveur SMTP de messagerie, en utilisant les adresses trouvées sur le disque dur de la machine infectée. Il se présente avec un en-tête aléatoire et une icône Excel mais aucun texte n'apparaît dans le corps du message. Si la pièce jointe - un fichier Zip à l'intitulé aléatoire - est exécutée, le ver se copie dans le système et crée une entrée dans la base de registres afin de se relancer à chaque démarrage de la machine. Il ouvre également le port 2745 et attend un ordre de l'extérieur qui l'invitera à télécharger et exécuter une application qui arrête plusieurs processus, notamment les mises à jour antivirales.

 

Un leurre pour les antivirus

 

Sophos signale que Bagle.F et Bagle.G disposent d'un artifice pour éviter les analyses antivirales locales comme celles du fournisseur d'accès. Le ver se présenterait comme un fichier Zip protégé par mot de passe, ce qui en interdirait l'analyse, le sésame étant présenté dans le cœur du message. Si Bagle.B n'arrivait qu'à la quatrième place du classement de Sophos du mois de février, l'ensemble des variantes pourrait prendre la tête du tableau dans le courant du mois de mars.

 

Christophe Lagane

 

Source VNUnet

 

MDR, je l'ai eu aujourd'hui et c'est vrai que le coup du mot de passe, c'est marrant :P

(du moins, pour celui qu'il l'ouvre pas)

 

Myki

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonsoir Myki, bonsoir à tous,

 

>Le virus Bagle bat des records de variantes

Je ne sais pas si Christophe Lagane veut dire le plus de variantes pas unité de temps mais il me semble qu'Agobot a fait bien mieux ! il existe des Agobot BK et sans doute plus loin que BK !

 

----- édition

Qu'est-ce que je raconte ??? je suis à la traîne !

voilà Agobot CS -> http://www.sophos.com/virusinfo/analyses/w32agobotcs.html

Modifié par ipl_001

Partager ce message


Lien à poster
Partager sur d’autres sites

B'Jour,

 

y a vraiment quelquechose qui me chiffonne dans ce concours débile des nouvelles variantes des deux derniers. En tous cas voilà ce qu'en disent mes bons amis de Frisk Software (islandais -> F-PROT) :

This is a virus alert for six new variants of the Bagle

family and two new variants of the Netsky family:

 

  W32/Bagle.C@mm

  W32/Bagle.D@mm

  W32/Bagle.E@mm

  W32/Bagle.F@mm

  W32/Bagle.G@mm

  W32/Bagle.H@mm

  W32/Netsky.D@mm

  W32/Netsky.E@mm

 

These new variants started spreading between 28 February and

1 March 2004.

 

Risk:

Most of these new variants are rated low risk and would not

warrant a virus alert on their own.  Given the number of new

variants in a relatively short span of time, however, there

is reason for computer users to be careful.

 

Note that multiple virus signature files were

released between 28 February and 1 March, each of which

detected all the variants that had been discovered at the

time of their release.

 

More information on these new variants of the Bagle and

Netsky families can be found at http://www.f-prot.com/virusinfo/

Partager ce message


Lien à poster
Partager sur d’autres sites

j'ai essayé de dispatcher les deux virus et en plus, les nouvelles versions sont différentes. Mais c'est clair que c'est un bordel dans tous ces virus ...

 

Myki

Partager ce message


Lien à poster
Partager sur d’autres sites

Normal qu'il y ait autant de version, c'est qu'ils (les auteurs de virus) se font la conversation

 

Les auteurs de Mydoom, Netsky et Bagle camouflent des insultes dans leurs virus

Ce n'est pas la première fois que des créateurs de virus insèrent des messages dans leurs créations - c'est même une pratique courante - mais les auteurs de la vague actuelle de vers informatiques innovent en s'échangeant des insultes et des menaces.

 

La vague actuelle de vers informatiques, une des pires de l'histoire d'Internet, est marquée depuis quelques jours par l'apparition d'une multitude de variantes de Bagle, Netsky et Mydoom. En fait, on semble assister à une véritable course entre ces auteurs de programmes malveillants.

 

Les dernières versions des vers informatiques révèlent un esprit de concurrence entre les auteurs, qui semblent vouloir amorcer une conversation principalement composée d'insultes et probablement motivée par la jalousie engendrée par la propagation rapide de Netsky.D en début de semaine.

 

En effet, une des dernières variantes de Bagle contient le message suivant: «Hey, NetSky, fuck off you bitch, don't ruine our bussiness, wanna start a war?» (Hé! Netsky, (insultes), ne gâche pas nos activités, veux-tu déclarer la guerre?). La dernière version de Mydoom cache également un message, adressé au créateur de Netsky, qui qualifie le ver informatique de «shitty app» (application de mauvaise qualité).

 

Le créateur de Netsky allait-il se laisser insulter ainsi sans se prévaloir de son droit de réplique? Non. Netsky.F, une variante découverte ce mercredi matin, cache dans son code la réponse suivante: «Skynet AntiVirus - Bagle - you are a looser!!!!» (Skynet AntiVirus - Bagle - tu es un perdant!!!!), une insulte qui n'aurait toutefois pas pu être dirigée vers le créateur de Mydoom, le ver dont la première variante aurait été la plus virulente de toute l'histoire.

 

Source Branchez-Vous

 

Myki

Partager ce message


Lien à poster
Partager sur d’autres sites
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

          S E C U S E R  A L E R T  14/03/04

                http://www.secuser.com/

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

                    Virus Bagle.N

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

1. RESUME DE L'ALERTE

2. SYSTEME(S) CONCERNE(S)

3. PREVENTION

etc ... (tronqué par OF) ...

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

1. RESUME DE L'ALERTE

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Bagle.N est un virus qui se propage par email et via les dossiers partagés.

Il se présente sous la forme d'un message dont le titre et le corps sont

aléatoires, accompagné d'un fichier joint avec une extension en .EXE, .PIF,

.ZIP ou .RAR (21 à 22 Ko) ainsi éventuellement que d'une image au format

.BMP, .GIF ou .JPG. Si le fichier joint est exécuté, le virus s'envoie aux

adresses présentes dans le carnet d'adresses Windows ainsi que divers autres

fichiers du disque dur, tente de désactiver un grand nombre d'antivirus,

pare-feux personnels et autres logiciels de sécurité, installe une porte

dérobée, puis tente de se propager via KaZaA et les dossiers mis en partage.

http://www.secuser.com/alertes/2004/baglen.htm

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

2. SYSTEME(S) CONCERNE(S) ..."

 

OF : Tous les Windows (voir autres alertes Secuser ....)

 

Pour une belle discussion sur les pièces jointes au pseudo format image (BMP, GIF, JPG) voir ce post dans ce même forum : http://forum.zebulon.fr/index.php?showtopic=40614&st=0

 

J'y rajoute :

 

1) que ces formats images permettent l'éxecution automatique par les lecteurs genre Windows Media Player. Précaution : désactiver les lecteurs par défaut !

 

2) que l'Europe va sanctionner M$ft pour "position dominante de monopole ..." avec justement WMPlayer. Enjeu : amende de 3 Mega $$ ! Simple coïncidence.

Modifié par O.Fournier

Partager ce message


Lien à poster
Partager sur d’autres sites

B'Soir, dans mes mails : suite de la course alphabétique de BAGLE avec du nouveau en HTML :

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

          S E C U S E R  A L E R T  18/03/04

                http://www.secuser.com/

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

                    Virus Bagle.Q

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

1. RESUME DE L'ALERTE

2. SYSTEME(S) CONCERNE(S)

(* reste tronqué par OF)

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

1. RESUME DE L'ALERTE

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Bagle.Q est un virus qui se propage par email et via les dossiers partagés.

Il se présente sous la forme d'un message au format HTML dont le titre est

aléatoire, sans fichier joint. Si l'ordinateur n'est pas à jour dans ses

correctifs de sécurité, la simple ouverture ou prévisualisation du message

provoque l'exécution d'un script qui télécharge et exécute le virus à l'insu

de l'utilisateur depuis un serveur distant. Bagle.Q installe alors un serveur

web sur l'ordinateur infecté, envoie un message piégé aux adresses présentes

dans le carnet d'adresses Windows et divers autres fichiers, tente de

désactiver un grand nombre de logiciels de sécurité, installe une porte dérobée,

infecte les fichiers .EXE du disque puis se copie dans les dossiers partagés.

http://www.secuser.com/alertes/2004/bagleq.htm

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

2. SYSTEME(S) CONCERNE(S)

(* tous les Windows ...)

 

Et l'alerte de Fisk Software International (AV F-PROT Islande)

 

This is a virus alert for four new variants of the Bagle

family:

 

  W32/Bagle.Q@mm

  W32/Bagle.R@mm

  W32/Bagle.S@mm

  W32/Bagle.T@mm

 

These variants started spreading on 18 March 2004.

 

Risk:

These new variants are rated low risk and would not warrant a

virus alert on their own.  However, given the number of new

variants in a relatively short span of time there is reason

for computer users to be careful.

 

Recommended Reactions: 

Users of F-Prot Antivirus should update their virus signature

files immediately.  These variants are all detected by F-Prot

Antivirus using virus signature files dated 18 March 2004 and

later.

 

More information can be found at:

http://www.f-prot.com/news/vir_alert/bagle_q_r_s_t.html

 

Euh, gaffe. Sans plus ... :P

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonsoir Myki, Olivier, bonsoir à tous,

 

Je suis surpris par le "low risk" de Frisk Software (Frisk Olivier ! je sais bien que la déclaration de revenus approche mais ce n'est pas "fisk" ! LOL) !

 

J'ai reçu une alerte plus inquiétante de MessageLabs (VirusEye) :

Le danger est aussi bien l'email au format Html que le site Web (un email avec un lien vers un site web) !

Il y avait eu, par le passé, un virus qui infectait par affichage Html dans OE... BugBear ???

Moi, je trouve çà inquiétant !

Partager ce message


Lien à poster
Partager sur d’autres sites

Votre contenu devra être approuvé par un modérateur

Invité
Vous postez un commentaire en tant qu’invité. Si vous avez un compte, merci de vous connecter.
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.


  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×