Alerte ..

Par Utarius le 30/11/2001 à 12:51:00 (#346059)

Je l'ai eu ... Un virus denomé BadTrans.B

Virus
Badtrans.B

Badtrans.B est une variante du virus Badtrans. Ce virus de mail résident se présente sous la forme d'un message vide accompagné d'un fichier joint souvent non visible dont le nom est composé aléatoirement à partir d'un nom parmi FUN, HUMOR, DOCS, S3MSONG, Sorry_about_yesterday, ME_NUDE, CARD, SETUP, SEARCHURL, YOU_ARE_FAT!, HAMSTER, NEWS_DOC, New_Napster_Site, README, IMAGES, PICS puis une extension .DOC., .MP3. ou .ZIP., puis une seconde extension .pif ou .scr (visible uniquement si Windows est configuré pour afficher toutes les extensions), donc par exemple NEWS_DOC.MP3.scr. Le sujet du message est une réponse à un mail précédemment envoyé au correspondant infecté, afin de ne pas éveiller la méfiance du destinataire ("Re:" ou "Re: [titre du mail]").

Le virus s'exécute automatiquement à l'ouverture du mail ou lors de son affichage dans la fenêtre de prévisualisation d'Outlook, si le navigateur est une version d'Internet Explorer 5.01 ou 5.5 non patchée contre une vulnérabilité MIME connue. Même lorsque le patch a été appliqué, l'ouverture ou la prévisualisation du message peut déclencher automatiquement une fenêtre invitant à ouvrir ou enregistrer le fichier joint.

Si le fichier joint est exécuté, le virus se copie dans le répertoire System de Windows sous le nom Kernel32.exe, modifie la base de registre pour s'exécuter automatique au prochain démarrage, puis s'envoie automatiquement en répondant à tous les messages non lus de la boîte de réception ainsi qu'aux adresses emails trouvées dans les pages HTML et ASP du répertoire Mes Documents et du cache internet en ajoutant un caractère "_" à l'adresse de l'expéditeur afin de faire échouer les mails envoyés en retour pour le prévenir (il faut donc corriger l'adresse après avoir pressé le bouton "Répondre à"). Le virus continue ensuite à s'envoyer à chaque nouveau correspondant envoyant un mail à la personne infectée ou à laquelle cette personne écrit. Badtrans.B installe enfin dans le répertoire System la backdoor PWS-AV sous le nom KDLL.DLL : cette dernière enregistre les frappes au clavier lorsqu'une fenêtre Windows contient un mot-clé sensible ("log", "pass", "rem", "con", "ter", "net"), stocke les informations dans un fichier cp_25389.nls, puis les envoie périodiquement à plusieurs adresses emails.

Pour supprimer Badtrans.B, utiliser préférentiellement un antivirus à jour ou sinon procéder manuellement : démarrez en mode sans échec (Windows 95/98/Me) ou terminez le processus Kernel32.exe via le gestionnaire des tâches (Windows NT/2000/XP), supprimez les fichiers CP_25389.NLS, Kernel32.exe et Kdll.dll, supprimez l'entrée HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ RunOnce\kernel32 = “kernel32.exe” dans la base de registres (uniquement si vous savez comment procéder), puis redémarrer l'ordinateur et enfin changez tous vos mots de passe (ou au minimum ceux qui protègent les données les plus sensibles). Attention : il ne faut pas supprimer un fichier sans avoir confirmé l'infection avec un antivirus.


voila .. je fait tout pour le viré

Par Maitre LazariuS le 30/11/2001 à 12:59:00 (#346060)

J'avai prevenu y a 3 jours , Mullins a eu le meme , utarius 57070571 sur ICQ , si tu es encore infecté ce soir je t'aiderai a le virer

Par Maitre LazariuS le 30/11/2001 à 13:00:00 (#346061)

tout ce que je peux te conseiller c'est de filer tes pass a kelk un de confiance pour qu'il les change de son coté sur une becane non infecté le temps que tu vire ca , sinon bye bye le compte GOA si le mec en voulait particulierement a toa

Par Alex le 30/11/2001 à 13:06:00 (#346062)

merde je l'ai..........merde merde merde *essaye de l'enlever :sanglote:
help meeeeeeeeeeeeeeeee :aide: :sanglote:

[ 30 novembre 2001: Message édité par : Alex ]

Par Maitre LazariuS le 30/11/2001 à 13:34:00 (#346063)

et voila ... Laza le gros con mais laza il avait raison comme d hab , c'est ca d'utiliser outlook ki est plein de failles

Par Maitre LazariuS le 30/11/2001 à 13:34:00 (#346064)

bon allez j'allume icq : 57070571

Par Dahlia18 le 30/11/2001 à 16:27:00 (#346065)

ah vala pkoi j'ai pas de nouvelles de Uta quand je lui envoie des e-mails

Arf le pauvre vas avoir un flood de signatures quand il pourra les ouvrir

Par Alex le 30/11/2001 à 16:59:00 (#346066)

diteuh.....ce virus y risque pas de tout me peter tout plein tout partout a la figure ?
aidez moiiiiiii a l'enleveeeerrrrrr :aide: :sanglote:

Par Dahlia18 le 30/11/2001 à 17:05:00 (#346067)

calme toi Alex .. efface le de tes e-mails sans l'ouvrir

Par Alex le 30/11/2001 à 17:11:00 (#346068)

le probleme c que j'ai une mere (comme tlm...) et qu'elle a....disons.....ouvert le mail et telecharge le bidule pendant que gt pas la donc je recommence : help

Par Utarius le 30/11/2001 à 20:08:00 (#346069)

*Paf*

Par Crazy le 30/11/2001 à 20:35:00 (#346070)

www.eudora.com
(une bonne alternative à Kro$oft Outelouque)

Sinon y'a encore mieux : www.apple.fr :p :p :p

(bon d'accord T4C marche po sur Mac, mais kan mem)

MAC POWAAAAAA !!!

*Part en courant avant de se faire frapper* :p

Par Gadjio le 30/11/2001 à 20:45:00 (#346071)

Un truc utile pour Outlook, pour éviter les exécutions de scripts dans les mails :
1) aller dans le menu 'Outils' et choisir 'Options'. Puis dans l'onglet
'Sécurité' règler la zone de sécurité à 'Zone sites sensibles'.
2) aller dans le panneau de configuration, et choisir 'Options Internet'.
Dans l'onglet 'Sécurité', choisir 'Sites sensibles' puis cliquer sur
'Personnaliser' et mettre tout à 'Désactiver' ou 'Haute sécurité' suivant
les cas.

Après il faut aussi éviter d'ouvrir les pièces jointes des mails suspects, et ça résout la plupart des problèmes.

Par Alex le 30/11/2001 à 20:50:00 (#346072)

c quoi l'entree HKEY truc dans la base de registre bidule machin ?

Par Maitre LazariuS le 30/11/2001 à 21:11:00 (#346073)

Uni je serai toi je scannerai ma becane , le virus utilise une faille Outlook , t as pas besoi n d'ouvrir la piece jointe pour te faire infecter

Par Utarius le 30/11/2001 à 23:58:00 (#346074)

yep jamais ouvert ce mail et pourtant je l'avait

Par Angelfc le 1/12/2001 à 0:06:00 (#346075)

J'ai recu le mail sur Ifrance mais c trop coimique parce que Ifrance à viré le virus automatiquement hé hé ;)
J'ai tout de meme fais une recherche et le fichier cp_25389.nls na pas etait trouver sur mon systeme.
Je v quand meme faire une analyse anti-virus
Merci Uta et Lazza.

Par Maitre LazariuS le 1/12/2001 à 0:32:00 (#346076)

Uta il l'avait le .nls , il l a meme bien vu lol