Archives des forums MMO/MMORPG > Forums divers > La Taverne > Tanatos/Bugbear -- Un virus qui neutralise toutes defenses!
Tanatos/Bugbear -- Un virus qui neutralise toute defenses!
Par Darksoul Zenox le 2/10/2002 à 16:16:41 (#2270511)
Un nouveau virus particulièrement sournois, combinant un ver et un cheval de Troie, vient de faire son apparition. Nommé Tanatos ou Bugbear, tout dépendant de quelle firme de logiciels antivirus en parle, Tanatos est un document joint à un courriel qui fait environ 50 kilo-octets. Le document, comprimé avec l'utilitaire de compression UPX, est écrit en langage Visual C++.
La dissémination du virus est en tant que document joint à un courriel dont le sujet, le texte, le nom de la pièce jointe et même le format changent de façon aléatoire, ce qui rend d'autant plus difficile l'identification de messages infectés par simple observation. Les messages infectés sont aussi bien en simple format texte qu'en format HTML.
Lorsqu'il est en simple format texte, le fichier joint doit effectivement être ouvert pour lancer le processus d'infection. Dans le cas de la version HTML, il suffit que l'utilisateur en prenne connaissance, dans la fenêtre de prévisionnement par exemple, pour que le virus exploite la vulnérabilité «IFRAME» du système de sécurité de Windows Explorer afin de se lancer et d'infecter l'ordinateur.
Après avoir été activé, Tanatos s'inscrit dans le registre système sous la clé auto-run, ce qui fait que son code malicieux sera activé à chaque démarrage de Windows. Tanatos contient aussi un cheval de Troie. Il installe un système d'enregistrement des activités du clavier, ce qui permet, par exemple, d'enregistrer les mots de passes tapés dans un fichier spécifique - KEYLOGGER.DLL - dans le répertoire système de Windows.
Une autre particularité intéressante de ce vers est sans aucun doute le fait qu'il tente d'interrompre les processus actifs, et particulièrement les logiciels antivirus et les pare-feux.
Sur les machines infectées, ceux qui contrôlent le ver Tanatos peuvent dicter le téléchargement de fichiers, le transfert, la copie, l'effacement et l'exécution de tâches, etc. Pour ce faire, Tanatos ouvre secrètement le serveur HTTP et présente à son maître une interface à partir de laquelle il n'a qu'à contrôler l'ordinateur infecté.
La meilleure protection - autant contre Tanatos que contre une multitude d'autres virus - consiste, dans un premier temps, à télécharger régulièrement les rustines de Microsoft qui corrigent les différentes vulnérabilités découvertes.
Dans un deuxième temps, il est primordial non seulement d'utiliser un logiciel antivirus, mais aussi d'en faire régulièrement la mise à jour. En effet, tous les principaux fabricants ont déjà intégré une protection contre Tanatos/Bugbear.
Alors, avez-vous mis votre antivirus à jour ce matin?
Source :Canoe
Par Floye le 2/10/2002 à 16:26:18 (#2270567)
*tenait a poster sons 100eme message* :D
Par Lumina le 2/10/2002 à 18:10:39 (#2271312)
http://vil.mcafee.com/dispVirus.asp?virus_k=99728
De toute facon, on repere ces virus au fait qu'ils ont une piece jointe bizarre et un titre en anglais demandant d'ouvrir celle-ci.
Par Panzerjo le 2/10/2002 à 19:06:43 (#2271645)
Soit je suis le plus gros veinard en matiere de virus, ce que je doute fort vu le manque de chance que j'ai avec l'informatique, soit tous ces virus sont du foutage de gueul ce que je doute aussi vu le nombre de personne infecte ...
Reste une 3eme solution j'ai toujours eu des virus ce qui explique mon manque de chance en info :D
Sinon j'ai mis par hasard Norton a joure y'a 3h, onc j'espere que ca suffira
:rolleyes:
Par Simousse Telia le 2/10/2002 à 19:19:41 (#2271714)
Moyen de le detruire autre que le formatage ? :doute:
Par Tabassor le 2/10/2002 à 19:33:05 (#2271793)
donc, la meilleure chose a faire, si tu peux faire un réseau temporaire, c'est un scan, un lundi matin, quand tu pars, de ton hd, a partir d'un autre ordi.
Pour ce qui est du worm, je ne vois pas ce qu'il a de particulier, par rapport aux autres... sub seven, et netbus, etaient déjà du même style... (plus anciens cependant). j'ai cependant entendu parler d'un worm qui possédait son propre serveur d'expansion, et qui se faisait passer pour telle ou telle personne, en "volant", l'espace d'un envoi, l'adresse email d'une victime, envoyant par ce procédé, un email a une connaissance de la victime, qui l'ouvre alors en toute insouciance... mais voila, une fois le mail ouvert, votre boite d'email peut de nouveau servir d'hote a ce procédé...
et ceci, a vie, puisque le virus est web based... info a vérifier, cependant... entendue dans les halls de ma fac...
Par Lumina le 2/10/2002 à 21:07:06 (#2272317)
Provient du message de Tabassor
il est en effet fort possible que tu aies des virus depuis des mois sans le savoir (ca m'est arrivé...)
donc, la meilleure chose a faire, si tu peux faire un réseau temporaire, c'est un scan, un lundi matin, quand tu pars, de ton hd, a partir d'un autre ordi.
Ou fort plus simple, utiliser l'un des antivirus en ligne presentes dans ce sujet :
http://forums.jeuxonline.info/showthread.php?s=&threadid=85137 j'ai cependant entendu parler d'un worm qui possédait son propre serveur d'expansion, et qui se faisait passer pour telle ou telle personne, en "volant", l'espace d'un envoi, l'adresse email d'une victime, envoyant par ce procédé, un email a une connaissance de la victime, qui l'ouvre alors en toute insouciance...
Tous font ca !
Tous se servent du carnet d'adresse de la victime pour se proliferer. Et tous modifient a volonte le nom de celui qui envoie l'email, car c'est une fonctionnalite propre a tout programme de mail. Moi-meme, avec Outlook Express, je peux envoyer un mail a Mind en me faisant passer pour Britney Spears. :p
Par tanguy le 2/10/2002 à 21:21:06 (#2272354)
- desactiver le "preview" ds Outlook : affichage / Disposition et de desactiver 'afficher le volet de previsualisation'.
- si vous ne savez pas de qui provien un mail. Faite un clic droit / propriete onglet details / Sources du message . cela ouvre le message, mais en texte donc pas d'iterpretation de commandes possible et de voir surtout d'ou vien ce message et si il est aussi envoyer a 50 autre personne dont aucune d'entre elle ne vous dit qqchose :)
Ce sont parfois ces simple precaution qui peuvent sauver votre machine et tout ces petit fichier qui y sont conserves. Mais que ceci ne vous dispense cependant pas l'utilisation d'un antivirus !
Par Lwevin Myan le 2/10/2002 à 23:12:44 (#2272883)
Provient du message de tanguy
Le plus simple reste tout de meme de :
- desactiver le "preview" ds Outlook : affichage / Disposition et de desactiver 'afficher le volet de previsualisation'.
Faux.
Le plus simple est de loin d'utiliser un autre mailer, ca corrigera le problème pour ce virus et la majorité de ceux à venir :p
Parce que ouvrir le mail pour le lire, ca va un mail, deux mails... Mais ca devient rapidement saoulant.Ce sont parfois ces simple precaution qui peuvent sauver votre machine et tout ces petit fichier qui y sont conserves. Mais que ceci ne vous dispense cependant pas l'utilisation d'un antivirus !
Personnellement, j'ajouterais qu'un firewall est encore plus important dès qu'on est connecté de manière continue au net.
Par Lwevin Myan le 2/10/2002 à 23:17:10 (#2272905)
Provient du message de Simousse Telia
Oups je croit deja avoir trouvé une victime... :(
Moyen de le detruire autre que le formatage ? :doute:
Il est probable que les éditeurs d'anti virus ont mis un programme pour supprimer ce virus.
Ou le faire soi-même (regarder dans le registre les programmes lancés automatiquement, et voir les programmes suspects. A ne faire que si l'on sait ce que l'on fait, et ca ne garantit pas d'effacer tout le virus).
Mais je doute fort que le formatage soit obligatoire.
Par Arkan le 2/10/2002 à 23:30:00 (#2272961)
Par Kob Hyde le 3/10/2002 à 0:33:29 (#2273233)
Provient du message de tanguy
Le plus simple reste tout de meme de :
- desactiver le "preview" ds Outlook : affichage / Disposition et de desactiver 'afficher le volet de previsualisation'.
Impossible de désactiver, l'affichage de la prévisualisation, cette partie est grisé, et pourtant les prévisualisation s'affiche quand même. Comment faire dans ces cas la??:aide:
Par Tabassor le 3/10/2002 à 14:16:11 (#2275473)
Provient du message de Lumina
Tous font ca !
Tous se servent du carnet d'adresse de la victime pour se proliferer. Et tous modifient a volonte le nom de celui qui envoie l'email, car c'est une fonctionnalite propre a tout programme de mail. Moi-meme, avec Outlook Express, je peux envoyer un mail a Mind en me faisant passer pour Britney Spears. :p
Tous ne sont pas basés sur un serveur web... Tous ne font pas un "duplic" de ton adresse pour s'envoyer, depuis leur serveur, la plupart doivent bien être présents sur ton disque dur. ben celui la dont on m'a parlé, non. il a piqué les infos de ta machine une fois, il les envoie au serveur, et c'est fini, c'est comme si tu pouvais changer de nom (enfin j'exagere mais bon... pas loin)
Pour mind, surtout ne fait pas ca... il est déja dans une crise sailormoon, c'est assez pour lui je pense...
Par Illyana le 3/10/2002 à 14:37:20 (#2275536)
Merci pour les infos :)
Par tanguy le 3/10/2002 à 15:06:25 (#2275671)
Provient du message de Kob Hyde
Impossible de désactiver, l'affichage de la prévisualisation, cette partie est grisé, et pourtant les prévisualisation s'affiche quand même. Comment faire dans ces cas la??:aide:
T'as les droit admin sur cette machine ?
Par Yganor Wallace MIP le 3/10/2002 à 16:15:04 (#2276091)
A l'époque ou je le faisais c'était chaud, on rentrait l'IP, mais il fallait que la cible est son partage de fichier ouvert, aujourd'hui ca fait longtemps que j'ai arreté, mais j'ai eu vent par d'anciennes relations qu'il était possible de rentrer sur le PC maintenant sans que la cible est besoin d'avoir activé son partage de fichier, donc il lui suffit juste d'avoir votre IP, ensuite il peut faire tout ce qu'on peut faire avec un backoriffice par exemple, mais sans avoir besoin de passerelle, donc faites attention hein, essayez de changer svt votre IP, y a des programmes pour ca, les firewalls sont pas si efficaces que ca, car facile à contourner :p
Vala soyez vigilant, il y a peu de chance que ca tombe sur vous, mais bon, c'est pas tjrs aux autres que ca arrive hein ^^
Yga - qui zoute tout le monde - nor :p
Bugbear, un nouveau virus particulièrement dangereux
Par Trollesse le 18/10/2002 à 18:35:54 (#2358753)
Des solutions ? :chut:
Par Elladan Araphin le 18/10/2002 à 18:38:42 (#2358773)
Par Castor tout-terrain! le 18/10/2002 à 19:08:05 (#2358969)
Le removal tool
[message de Trollesse fusione avec l'ancien sujet - Lumina]
Par Trollesse le 21/10/2002 à 9:57:46 (#2373281)
Par willoi le 22/10/2002 à 13:11:55 (#2381786)
Mais qui c'est qui depnne apres c'est bibi
enfin bref je suis allé sur le site de Sophos!j'ai telechargé rmbgbear.exe qui me l'a viré!
et au préalble j'avais viré l'exe dns ds Demarrage
ainsi qu'une sale clé dans la base de registre sur RunOnce qui me remettait l'exe ci_dessus puis j'ai aussi viré un exe (celui ecrit dasn RunONce comme par hasard) et une dll dans c:\windows\system (meme dates meme heures)
puis j'ai terminé en vidant le secteur d'amorcage du disque dur
voilà :)
Par Edouard BaladursGate le 22/10/2002 à 18:32:35 (#2384411)
Par Xentios Bagarth le 22/10/2002 à 19:04:15 (#2384721)
JOL Archives 1.0.1
@ JOL / JeuxOnLine