Publié le: 10/08/2004 @ 14:12:44: Par sbuysse Dans "Virus"
VirusCes dernières heures, un nouveau virus a fait son apparition : Bagle.AM, également connu sous les appellations Bagle.AQ et Bagle.AC. Appartenant à la famille Bagle, apparue au mois de janvier de cette année, cette nouvelle variante a commencé à se propager et à infecter de nombreux utilisateurs. Etant donné le nombre important de remontées d’incidents, Panda Software a déclaré un niveau d’alerte orange pour cette nouvelle menace.

Luis Corrons, Directeur de PandaLabs, déclare : « Bagle.AM est dans la lignée d’une importante famille de vers apparue il y a 7 mois. Il utilise également les techniques d’ingénierie sociale pour tromper les utilisateurs en envoyant un fichier se référant à des prix ou des mots de passe. Il combine différentes méthodes d’infection. Le nombre d’incidents liés à Bagle.AM peut augmenter de manière très significative dans les prochaines heures, et cette situation est d’autant plus dangereuse qu’à cette époque un grand nombre d’utilisateurs dans différents pays ont du temps libre pour utiliser Internet ».

Bagle.AM se propage via e-mail et envoie un fichier ZIP d’une taille de 6 Ko incluant un fichier EXE caché et un fichier HTML portant le même nom. Si un utilisateur exécute le fichier HTML, il lancera le fichier EXE.Ce fichier EXE se copie sur le système et crée dans le registre les clés suivantes :


HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
win_upd2.exe = WINdirect.exe
HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun
win_upd2.exe = WINdirect.exe

Par ailleurs, Bagle.AM crée et exécute une DLL de 11,776 octets dans \_dll.exe qui a pour finalité de mettre fin à tous les processus portant les noms suivants :


FIREWALL.EXE
ATUPDATER.EXE
WINXP.EXE
SYS_XP.EXE
SYSXP.EXE
LUALL.EXE
DRWEBUPW.EXE
AUTODOWN.EXE
NUPGRADE.EXE
OUTPOST.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
ESCANH95.EXE
AVXQUAR.EXE
ESCANHNT.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVXQUAR.EXE
AVWUPD32.EXE
AVPUPD.EXE
CFIAUDIT.EXE
UPDATE.EXE
NUPGRADE.EXE
MCUPDATE.EXE

De plus, ce ver essaie de télécharger un faux fichier JPG à partir de plusieurs URLs. En réalité, il s’agit d’un autre fichier EXE qui inclut le reste du ver Bagle.AM, qui une fois exécuté, se propagera via e-mail.
Editer un commentaire
Sujet
Texte
Gras [b]Texte[/b] Italique [i]Italique[/i] Souligné [u]Souligné[/u] Barré [strike]Barré[/strike]
Courriel [email=nobody@nobody.org]Nom[/email] Lien [url=http://www.website.com]Texte[/url] Ancre [anchor]Nom[/anchor] Image [img]http://www.website.com/image.jpg[/img] Insérer une image en provenance du site
Aligné à gauche [align=left]Texte[/align] Centré [align=center]Texte[/align] Aligné à droite [align=right]Texte[/align] Toute la largeur [align=justify]Texte[/text]
Couleur [color=#000000]Text[/color] Mise en forme [highlight=pascal]Texte[/highlight] Widgets Emoticons :code: [:code] Convertisseur HTML vers BBCode Convertisseur Word vers BBCode
Prévisualisation Vérification de l'orthographe

Copier Coller Couper Tout sélectionner
Tout effacer Insérer la date Insérer l'heure Insérer la date et heure Insérer votre IP
Liste [list=square][item]BlaBla[/item][/list] Liste Numérotée [list=decimal][item]BlaBla[/item][/list]
Citation [quote=name]Texte[/quote] Spoiler [spoiler]James est le meurtrier![/spoiler]
Tout en majuscules [uppercase]Texte[/uppercase] Tout en minuscules [lowercase]Texte[/lowercase] l33t [l33t]Je suis un nerd[/l33t] Texte en indice [sub]Texte[/sub] Texte en exposant [sup]Texte[/sup] Taille du texte [size=8]Texte[/size]
 








Ada
CSS
Cobol
CPP
HTML
Fortran
Java
JavaScript
Pascal
Perl
PHP
Python
SQL
VB
XML
Anon URL
DailyMotion
eBay
Flickr
FLV
Google Video
Google Maps
Metacafe
MP3
SeeqPod
Veoh
Yahoo Video
YouTube
6px
8px
10px
12px
14px
16px
18px
Informaticien.be - © 2002-2024 AkretioSPRL  - Generated via Kelare
The Akretio Network: Akretio - Freedelity - KelCommerce - Votre publicité sur informaticien.be ?