[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
attention virus!!!

To: anb-weekly@ntlist.online.be
Subject: attention virus!!!
From: anb-bia <anb-bia@village.uunet.be>
Date: Wed, 28 Nov 2001 09:42:32 +0100
ATTENTION!
C'est la première fois que nous lançons une alerte au virus... Mais devant 
la quantité de messages infectés de BatTrans.B que nous recevons depuis 
hier, nous croyons opportun lancer cette nise en garde avec la dépêche 
ci-dessous repêchée sur Internet (www.vnunet.fr). Malheureusement nous ne 
l'avons qu'en français.
Veuillez nous excuser si vous êtes déjà informés.

Paolo (anb-bia brussels)

------------------------

mercredi 28 novembre 2001, 8h00

Badtrans.B : le virus qui 'écoute' vos mots de passe

"Le virus a finalement battu Sircam qui est resté n° 1 de notre classement 
pendant quatre mois." Ce triste record de propagation, relevé sur le site 
MessageLabs, est détenu par une nouvelle variante de BadTrans. Découvert le 
23 novembre dernier, BadTrans.B se répand très vite à travers les clients 
e-mail Outlook et Outlook Express non "patchés" de Microsoft. Lundi 26 
novembre au matin, MessageLabs détectait une centaine de mails infectés par 
minute. Si MessageLabs l'identifie comme provenant de Grande-Bretagne, une 
cinquantaine de pays sont déjà touchés, dont la France. Les imperfections 
des logiciels ne sont pas seuls en cause. Badtrans.B est un virus 
intelligemment conçu, tant dans son mode de déploiement et d'infection que 
dans son objectif final.

Badtrans.B apparaît en effet comme la réponse d'un correspondant à qui l'on 
a précédemment adressé un courrier. L'origine du mail est donc trompeuse en 
soit. D'autant que le message d'entête varie. Nous avons, à VNUnet, reçu un 
message infecté avec l'entête : "Re: Tr: CHANGEMENT DE COORDONNÉES !!! A 
METTRE A JOUR". Difficile de se méfier quand on connaît effectivement 
l'expéditeur.

Heureusement, le fichier joint, qui contient l'application infectieuse et 
qui, comme pour l'entête, peut prendre un nom aléatoire (stuff, info, 
Me_nude, fun, news, etc.), possède une double extension : .MP3, .DOC ou 
.ZIP, suivi de .pif ou .scr. Encore faut-il avoir activé l'affichage des 
extensions sous Windows. Le mail reçu à la rédaction proposait simplement 
"CARD.DOC.pif", que l'on peut rapidement assimiler à la carte de visite 
virtuelle jointe aux courriers électroniques. Malheureusement, Badtrans.B 
exploite une faille connue liée à l'entête MIME qui permet d'exécuter le 
fichier joint à partir de l'affichage du message dans la fenêtre de 
prévisualisation d'Outlook. Microsoft met en ligne un correctif pour éviter 
ce mode d'infection.

Discret mais à l'écoute du clavier

Plus malin, Badtrans.B ajoute un souligné ("_") en début d'adresse e-mail 
de l'expéditeur. Si bien que l'expéditeur involontaire du virus ne peut 
être joint ni informé du contenu infectieux de ses messages. Y compris avec 
les systèmes de réponse automatique des anti-virus installés sur les 
serveurs de messagerie des entreprises. Mais le pire est le pouvoir du 
virus en lui même. Badtrans.B modifie la base de registre de Windows (au 
niveau HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ 
CurrentVersion\RunOnce kernel32 = kern32.exe) afin de s'exécuter à chaque 
démarrage du système. Il s'auto-envoie à tous les correspondants du carnet 
d'adresses, allant même jusqu'à "répondre" aux correspondants qui 
s'adressent à l'utilisateur infecté. Il est de plus difficile à détecter 
sans anti-virus puisqu'il ne détruit aucun fichier et ne cherche pas à 
déstabiliser le système. Ce qu'il fait est bien plus dangereux pour 
l'utilisateur. Il installe dans le répertoire System le cheval de Troie 
KDLL.DLL qui espionne tout ce qui est saisi au clavier. Mots de passe comme 
numéro de carte bancaire, notamment, n'ont ainsi plus de secret pour les 
auteurs du virus. Effrayant !

Les particuliers seraient les principales victimes de Badtrans puisque, 
selon MessageLabs, 93 % des e-mail britanniques infectés proviennent de 
fournisseurs d'accès plutôt grand public. Les entreprises ont donc 
rapidement su prendre les dispositions nécessaires pour éviter la 
contamination. Notamment en corrigeant Outlook en temps et en heure. Encore 
une fois, les auteurs de virus profitent des systèmes non mis à jour. 
Répétons-le donc avec force, il faut impérativement installer les mises à 
jour de sécurité proposées par les éditeurs !

Christophe Lagane

Plus d'infos avec vnunet.fr


**********************************************************************
Un homme meurt chaque fois que l'un d'entre nous  se tait devant la 
tyrannie (Wole Soyinka, Prix Nobel litterature)
*                         --------                                   *
Everytime somebody keep silent when faced with tyranny, someone else dies 
(Wole Syinka, Nobel Prize for Literature)
**********************************************************************
Greetings from: ANB-BIA, Av. Charles Woeste 184,B-1090, Brussel, Belgium
Ph.: 32-2 420.34.36-Fax: 32-2 420.05.49 - e-mail : <anb-bia@village.uunet.be>
WWW:  http://www.peacelink.it/anb-bia/anb-bia.html
---------------------------------------------------------------------
Prev by Date: Padre Giovanni Pross
Next by Date: 04/12 Roma: IL DIFFICILE PROCESSO DI RICONCILIAZIONE IN SIERRALEONE
Previous by thread: Padre Giovanni Pross
Next by thread: 04/12 Roma: IL DIFFICILE PROCESSO DI RICONCILIAZIONE IN SIERRALEONE
Index(es):
- Date
- Thread