VIRUS BADTRANS ou BACKDOOR Détection du virus: On s'en apperçoit généralement soit parce que des internautes vous avertissent qe vous leur avez envoyé un message que vous ignorez, soit parce que vous constatez que certaines lettres avec accent ne "passent pas". Exemple: le ê devient ^^e. En principe, vous avez reçu une réponse d'un internaute (qui ignore ce message), et dont vous lisez la phrase suivante: "Take a look to the attachment" (regardez le fichier joint). ==================== Texte repris sur la réponse d'un internautes sur le forum fr.rec.genealogie (Jean-Marie Donnarieix). (traduction partielle de http://vil.nai.com/vil/virusRemovalInstructions.asp?virus_k=99069) NOM DU VIRUS : W32/Badtrans@MM NIVEAU DE RISQUE : Moyen CARACTERISTIQUES ----------------- Ce ver de courrier tente de s'envoyer lui-même en utilisant Microsoft Outlook en répondant aux messages non lus. Il met aussi en place un cheval de Troie d'accès distant (détecté en tant que Backdoor-NK.svr avec les versions DATs 4134, détecté par heuristique en tant New Backdoor avec les versions précédentes). Une fois lancé, le ver affiche une fenêtre de message intitulée "Install error" qui affiche "File data corrupt: probably due to to a bad data transmission or bad disk access". Une copie est enregistrée dans le répertoire WINDOWS sous le nom INETD.EXE et une entrée est ajoutée dans le fichier WIN.INI pour lancer INETD.EXE au démarrage. KERN32.EXE (trojan) et HKSDLL.DLL sont enregistrés dans le répertoire WINDOWS\SYSTEM, et une entrée registre est créée pour charger le trojan au démarrage du système : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\kernel32=kern32.exe. Remarque : Sous WinNT/2000 une entrée supplémentaire dans le registre remplace la modification de WIN.INI : HKEY_USERS\Software\Microsoft\Windows NT\ CurrentVersion\Windows\RUN=%WinDir%\INETD.EXE Une fois lancé, le trojan tente d'envoyer l'IP de la victime à son auteur. Une fois cette information obtenue, l'auteur peut se connecter au système infecté via Internet et piller les informations personnelles comme les noms d'utilisateurs et les mots de passe. En plus, le trojan contient aussi un enregistreur de clé capable de capturer d'autres informations vitales comme numéros et mots de passe de carte et de compte banquaires. Au lancement suivant de Windows, le ver tente de s'expédier lui-même en répondant aux messages non lus des dossiers de Microsoft Outlook. Il s'attache à ces messages en utilisant l'un des noms de fichier suivants (il faut remarquer que certains de ces noms de fichier sont aussi associés à d'autres processus, tels que W95/MTX.gen@M) : Card.pif docs.scr fun.pif hamster.ZIP.scr Humor.TXT.pif images.pif New_Napster_Site.DOC.scr news_doc.scr Me_nude.AVI.pif Pics.ZIP.scr README.TXT.pif s3msong.MP3.pif searchURL.scr SETUP.pif Sorry_about_yesterday.DOC.pif YOU_are_FAT!.TXT.pif Le corps du message peut contenir ce texte : "Take a look to the attachment". SYMPTOMES ---------- - Présence du fichier %WinDir%\INETD.EXE - Présence du fichier %SysDir%\KERN32.EXE - Correspondances e-mail précisant que vous avez envoyé un fichier attaché alors que ce n'est pas le cas. DECONTAMINATION ---------------- * Utiliser la dernière version de l'anti-virus Mac Affee * Mode manuel : - Démarrer en mode MS-DOS - Effacer les fichiers indiqués - Re-démarrer Windows - Effacer les entrées registre mentionnées. * Informations Windows ME : Windows ME utilise un utilitaire de sauvegarde qui enregistre automatiquement certains fichiers dans le dossier C:\_Restore. Par conséquent un fichier infecté peut y résider en tant que sauvegarde, et VirusScan ne peux pas détruire ces fichiers. Pour enlever les fichiers infectés de C:\_Restore, consulter http://vil.nai.com/vil/virusRemovalInstructions.asp?virus_k=99069