 |
 Alerte Virus, Vous prévenir des nouveaux virus
 |
|
 |
 |
|
|
 |
|
|
| VOID |
|
 |
|
| Group: ~ Tribu ~ |
|
| Posts: 212 |
|
| Member No.: 6 |
|
| Joined: 13-July 04 |
|
|
|  |
|
|
|
Merci dédé mé je le connais deja 
Bon je crois ke c moi qui va traduire 
____________________
| |
|
|
|
|
|
|
|
|
|
|
|
| VOID |
|
|
|
| Group: ~ Tribu ~ |
|
| Posts: 212 |
|
| Member No.: 6 |
|
| Joined: 13-July 04 |
|
|
| |
|
|
|
I-Worm.Bagle.al
Bagle.al est un ver qui écarte comme attachement d'email et par l'intermédiaire du dossier partageant des réseaux.
Le ver est écrit dans l'assembleur.
Bagle.al se compose de 2 composants principaux:
1. Un dossier de FERMETURE ÉCLAIR écartant comme attachement d'email;
2. le corps du ver, qui est téléchargé des websites indiqués.
Charge utile
Le dossier de FERMETURE ÉCLAIR contenant le déchargeur est 5932 bytes dans la taille et contient deux dossiers:
price.html price\price.exe
Le dossier price.html contient un manuscrit malveillant appelé exploit.CodeBaseExec, qui lance automatiquement price.exe.
Price.exe est un compte-gouttes de Trojan conçu pour installer le déchargeur qui téléchargera à leur tour le corps du ver sur la machine de victime. Le compte-gouttes est 14848 bytes. Après qu'il soit lancé, le compte-gouttes se copie dans l'annuaire de système de Windows sous le nom de windirect.exe et crée la clef suivante de course d'automobile d'enregistrement de système:
[ HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ] "win_upd2.exe"="%system%\windirect.exe"
Il alors extrait et sauve le déchargeur dans l'annuaire de système de Windows sous le nom _ de dll.exe et lance le déchargeur (le dossier de DLL est 11776 bytes). _ le dossier de dllexe finit les processus suivants:
ATUPDATER.exe ATUPDATER.exe AUPDATE.exe AUTODOWN.exe AUTOTRACE.exe AUTOUPDATE.exe AVPUPD.exe AVWUPD32.exe AVXQUAR.exe AVXQUAR.exe CFIAUDIT.exe DRWEBUPW.exe ESCANH95.exe ESCANHNT.exe FIREWALL.exe ICSSUPPNT.exe ICSUPP95.exe LUALL.exe MCUPDATE.exe NUPGRADE.exe NUPGRADE.exe OUTPOST.exe sys_xp.exe sysxp.exe UPDATE.exe winxp.exe
En conclusion, le déchargeur essaye de télécharger le corps du ver d'un des emplacements d'enchaînement énumérés dans les dossiers de DLL. Si le ver est avec succès téléchargé, le Trojan le lance.
Le composant de ver
Bagle.al est basé sur les codes sources écartés par Bagle.aa et est 19460 bytes dans la taille.
Installation
Une fois que Bagle.al est lancé par le composant de déchargeur, il se copie dans l'annuaire de système de Windows avec le nom windll.exe et enregistre la clef suivante de course d'automobile d'enregistrement de système:
[ HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ] "erthgdr"="%system%\windll.exe"
Bagle.al crée deux dossiers additionnels dans la chemise de système de Windows:
windll.exeopen windll.exeopenopen
Propagation par l'intermédiaire d'email
Bagle.al balaye la commande dure pour des dossiers avec les prolongements suivants:
nch de msg de mmf de mht de mdx de mbx de jsp de htm d'eml de dhtm de dbx de cgi de cfg de l'adb asp
xml de xls de wsh de wab d'uin de txt de tbb de stm de shtm de sht de pl de php d'oft d'cOds
Le ver utilise un serveur intégré de smtp pour expédier des copies de lui-même à toutes les adresses d'email moissonnées à partir de ces dossiers.
Email infectés
Objet:
aucun
Corps de message:
nouveau prix des prix
Le texte est présenté comme HTML PAGE.
Nom d'attachement (un de ci-dessous, choisi au hasard):
08_price.zip new__price.zip new_price.zip newprice.zip price.zip price_08.zip price_new.zip price2.zip
Bagle.al peut écarter car un dossier de FERMETURE ÉCLAIR protégé par mot de passe, dans ce cas le mot de passe sera inclus dans le corps de la lettre sous la forme des textes ou de graphique.
Bagle.al n'enverra pas les email infectés aux destinataires quand l'adresse contient n'importe laquelle des cordes suivantes des textes:
@avp. l'abus admin n'importe qui de @microsoft de @messagelab de @iana de @foo de @eerswqe de @derewrdgrs @ schéma désinsectise @ le contrat certific de cafee @
nouvelles locales de listserv de linux de kasp d'information d'icrosoft d'aide de google d'or-certs de f-secur de libre-poids du commerce de feste @ @ @ personne @ aucun @
noreply winzip winrar de mise à jour d'unix de soutien de Spam de sopho d'échantillons de racine d'estimation de postmaster de PGP de panda de ntivi @ @ @
Propagation par l'intermédiaire de P2P
Bagle.al balaye la commande dure pour des dossiers contenant la corde des textes les copies 'shar 'elle-même dans toute la ces derniers sous les noms suivants:
La fente anglaise du bureau 2003 de la révolution Subtitles.exe Microsoft de la matrice 3 de Photoshop 9 full.exe en avant Nero 7.exe Kaspersky Antivirus 5,0 KAV 5,0 d'adobe d'ACDSee 9.exe, la fente fonctionnante du bureau XP de Working!.exe Microsoft, Keygen.exe Microsoft Windows XP, la fente de WinXP, PICS fonctionnant de l'opéra 8 New!.exe Porno de Keygen.exe arhive, xxx.exe Porno Screensaver.scr Porno, sexe, oral, anal se refroidissent, hardcore images.exe du pro Keygen de la fente Update.exe WinAmp 6 New!.exe Windown d'awesome!!.exe Serials.txt.exe WinAmp 5 le bêta Leak.exe Windows Sourcecode update.doc.exe XXX longhorn
Administration à distance
Bagle.al ouvre le port 80 sur le serveur local de HTTP permettant au contrôleur de télécharger et exécuter des dossiers sur la machine infectée.
Autre
Le composant de ver de Bagle.al est programmé pour cesser de fonctionner et slef-destruct après août 10, 2004. Cependant, le module de déchargeur restera disponible pour l'usage possible pendant une période non spécifiée.
____________________
| |
|
|
|
|
|
|
|
|
|
|
|
| VOID |
|
|
|
| Group: ~ Tribu ~ |
|
| Posts: 212 |
|
| Member No.: 6 |
|
| Joined: 13-July 04 |
|
|
| |
|
|
|
Plus détaillé ke ca y a pas
____________________
| |
|
|
|
|
|
|
|
|
|
|
|
| CALLBACK |
|
|
|
| Group: Administrateu(r|se) |
|
| Posts: 684 |
|
| Member No.: 4 |
|
| Joined: 21-June 04 |
|
|
| |
|
|
|
Les traducteurs c'est mal
| QUOTE | | Bagle.al est un ver qui écarte comme attachement d'email et par l'intermédiaire du dossier partageant des réseaux. |
____________________
| |
|
|
|
|
|
|
|
|
|
|
|
| CALLBACK |
|
|
|
| Group: Administrateu(r|se) |
|
| Posts: 683 |
|
| Member No.: 3 |
|
| Joined: 28-December 03 |
|
|
| |
|
|
|
Mais bien sur 
| |
|
|
|
|
|
|
|
|
|
|
|
| VOID |
|
|
|
| Group: ~ Tribu ~ |
|
| Posts: 212 |
|
| Member No.: 6 |
|
| Joined: 13-July 04 |
|
|
| |
|
|
|
I-Worm.Mydoom.q
[ 08/16/2004 13:01, GMT +03:00, Moscow ]
Danger : moderate risk
http://www.viruslist.com/eng/viruslist.html?id=2047992
( version francaise grace a Google http://nanolink.fr/k9eduXa )
Mydoom.q is an Internet worm that spreads via an email attachment. It is written
in C++ and packed with UPX. The compressed file size is 27136 bytes and unpacked
- 65024.
Installation
Once Mydoom.q is launched it copies the main component into the Windows
directory under the name rasor38a.dll and into the Windows system folder under
the name winpsd.exe. finally, Mydoom.q creates the following key in the system
registry:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"winpsd"="<ÓÉÓÔÅÍÎÙÊ ËÁÔÁÌÏÇ Windows>\winpsd.exe"
Mydoom.q also creates a mutex named 43jfds93872 to prevent duplicate infections.
Propagation
Mydoom.q scans the infected machine for files with the following extensions:
txt
htmb
shtl
phpq
aspd
dbxn
tbbg
adbh
pl
wab
Email characteristics
Subject:
photos
Body text:
LOL!;))))
Attachment name:
photos_arc.exe
Payload
Mydoom.q attempts to download Backdoor.Win32.Surila.g, a Trojan, from a list of
infected sites contained in the body:
http://www.richcolour.com/ispy.x.xxx
http://www.richcolour.com/coco3.xxx
http://www.richcolour.com/guestbook/temp/temp587.xxx
http://zenandjuice.com/guestbook/temp/temp728.xxx
If the backdoor is downloaded successfully, it is saved in the Windows directory
under the name winvpn32.exe and then launched. A key is also created in the
system registry signaling the successful installation:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer]
"InstaledFlashhMX"="1"
Mydoom.q scans for this flag and stops attempting to download the Trojan once
the flag is tagged '1'.
Other
Mydoom.q is programmed to stop spreading on August 20 at 21:11:11 (according to
the local machine time).
However, Backdoor.Win32.Surila.g does not have an expiration date, meaning that
infected machines remain open for remote admninstration unless the Trjoan is
removed.
Pas besoin de traduire il y a un lien
____________________
| |
|
|
|
|
|
|
|
|
|
|
|
| VOID |
|
|
|
| Group: ~ Tribu ~ |
|
| Posts: 212 |
|
| Member No.: 6 |
|
| Joined: 13-July 04 |
|
|
| |
|
|
|
I-Worm.Bagle.an and I-Worm.Bagle.ao
[ 09/01/2004 14:21, GMT +03:00, Moscow ]
Danger : moderate risk
http://www.viruslist.com/eng/alert.html?id=2140045
( version francaise grace a Google http://nanolink.info/O5eevka )
Kaspersky Labs has detected two new versions of Bagle: I-Worm.Bagle.ao and
I-Worm.Bagle.an. Both versions use Exploit.CodeBaseExec to spread via email. The
new Bagles launch five different variants of TrojanDropper.Win32.Small and
TrojanDownloader.Win32.Agent which in turn download the body of the worm from a
number of web sites. All Trojan programs used by the worm to propagate are
currently detected by Kaspersky Anti-Virus as Trojan.Win32.Glieder.a and
Trojan.Win32.gen
Kaspersky Labs first detected that such emails were being spammed a week ago.
However, there were no files placed on the web site addresses which are coded
into the dropper and downloader programs. The new versions of Bagle were placed
on the sites this morning.
The worms are currently being analysed, and detailed descriptions of
I-Worm.Bagle.an and I-Worm.Bagle.ao will be available in the Virus Encyclopaedia
in the near future.
____________________
| |
|
|
|
|
|
|
|
|
|
|
|
| CALLBACK |
|
|
|
| Group: Administrateu(r|se) |
|
| Posts: 683 |
|
| Member No.: 3 |
|
| Joined: 28-December 03 |
|
|
| |
|
|
|
Mouahaha ça fais du bien de plus avoir à se soucier de ces virus à la con (et encore moins de la MàJ de l'AV et de la clée/license )
| |
|
|
|
|
|
|
|
| PTR |
|
|
|
| Group: ~ Tribu ~ |
|
| Posts: 146 |
|
| Member No.: 24 |
|
| Joined: 23-July 04 |
|
|
| |
|
|
|
rho les virus... j'en héradiques quelques uns au boulot... Pour les adeptes de microsoft j'commence à déconseiller Norton car c'est un bon antivirus mais comme il a une trers grande notoriété actuellement certains virus s'attaquent directement à lui sans rien faire d'autre (mis à part laisser passer ses collègues ).Au magasin on vend maintement du Viguard et pour le moment il est tellement efficace que l'on perd des clients  car ils ne reviennent plus pour cause de virus ^^
____________________
| |
|
|
| |
Surement histoire de casser leurs arguments de vente : "Best software's protection" etc ..
