|
update ..... bipt ...... informatie virus
Information virus
(dernière mise à jour) Virusinformatie
(laatste update)
Mise à jour le geactualiseerd op
23/01/2004 9:30
Name : W32.Bagle@MM
Risk : MEDIUM
Gelieve regelmatig de gekende anti-virussites te raadplegen
Veuillez consulter régulièrement les sites anti-virus connus
Caractéristiques du virus Viruskenmerken:
Il s'agit d'un ver de mass-mailing avec une composante d'accès à distance. Le ver arrive par e-mail et se présente sous la forme suivante: Dit is een worm die zichzelf massaal verzendt en een component bevat voor toegang vanop een afstand. De worm komt toe in een e-mailbericht met de volgende karakteristieken :
De: (l'adresse peut être falsifiée)
Objet: Hi
Corps:
Test =)
(caractères aléatoires)
--
Test, yep.
Pièce jointe: (nom de fichier aléatoire) 15,872 octets From: (adres kan vervalst zijn)
Subject: Hi
Body:
Test =)
(willekeurige karakters)
--
Test, yep.
Attachment: (willekeurige bestandsnaam) 15,872 bytes
exemple:
frjujs.exe voorbeeld:
frjujs.exe
Lorsque le fichier joint est exécuté, le virus vérifie la date du système. Si la date est le 28 janvier 2004 ou une date ultérieure, le virus quitte simplement le système et ne se propage pas. Dans le cas contraire, le virus lance le programme standard de la calculatrice Windows CALC.EXE. Dans l'intervalle, le virus se copie dans le répertoire WINDOWS SYSTEM (%SysDir%) sous le nom bbeagle.exe, et crée une clé de registre pour exécuté lors du démarrage de l'ordinateur: Wanneer de attachment wordt gestart, controleert het virus de systeemdatum. Is de datum 28 januari 2004 of later, dan gaat het virus gewoon weg en verspreidt het zich niet. In het andere geval voert het virus het standaardrekenprogramma van Windows, CALC.EXE, uit. Ondertussen kopieert het virus zichzelf naar de directory WINDOWS SYSTEM (%SysDir%) als bbeagle.exe , en maakt het een registry key aan om zichzelf op te laden wanneer het systeem wordt opgestart :
HKEY_CURRENT_USER\Software\Microsoft
\Windows\CurrentVersion\Run
"d3dupdate.exe" = C:\WINNT\System32\bbeagle.exe
HKEY_CURRENT_USER\Software\Microsoft
\Windows\CurrentVersion\Run
"d3dupdate.exe" = C:\WINNT\System32\bbeagle.exe
Deux clés supplémentaires sont créées:
HKEY_CURRENT_USER\Software\Windows98 "frun"
HKEY_CURRENT_USER\Software\Windows98 "uid"
Er worden nog twee andere sleutels aangemaakt :
HKEY_CURRENT_USER\Software\Windows98 "frun"
HKEY_CURRENT_USER\Software\Windows98 "uid"
Composante de Mass-mailing
Le ver recueille des adresses dans les fichiers suivants et s'envoie à ces destinataires, en utilisant son propre moteur SMTP.
.wab
.txt
.htm
.html
Component voor massale verzending
De worm plukt adressen uit de volgende bestanden en mailt zichzelf naar die ontvangers, waarbij het zijn eigen SMTP-machine gebruikt.
.wab
.txt
.htm
.html
Le virus falsifie l'adresse de l'expéditeur en utilisant une adresse recueillie dans le champ DE. Le premier message envoyé par le virus utilise la même adresse recueillie dans le champ "A" que le champ "DE". Le second message est envoyé à une adresse différente, tandis que le champ "DE" reste le même. Le troisième message est envoyé à une troisième adresse et le champ "DE" contient la seconde adresse et ainsi de suite.
Het virus vervalst het adres van de afzender door in het veld FROM/VAN een geplukt adres te gebruiken. Het eerste bericht dat het virus zendt, gebruikt hetzelfde geplukte adres in de velden TO/AAN en FROM/VAN. Het tweede bericht wordt verzonden naar een ander adres, terwijl het veld FROM/VAN onveranderd blijft. Het derde bericht wordt verzonden naar een derde adres, en het veld FROM/VAN bevat het tweede adres, enz..
Le virus ne s'envoie pas par mass-mailing aux adresses contenant l'une des chaînes suivantes:
@hotmail.com
@msn.com
@microsoft
@avp.
Het virus verzendt zichzelf niet massaal naar adressen die een van de volgende strings bevatten :
@hotmail.com
@msn.com
@microsoft
@avp.
Alias
W32.Beagle@mm, W32/Bagle@MM, Win32/Bagle.A
Aliassen
W32.Beagle@mm, W32/Bagle@MM, Win32/Bagle.A
Pour plus de détails:
Des informations complémentaires concernant ce virus sont disponibles à l'adresse:
Meer details:
Meer informatie over dit virus is beschikbaar op de volgende sites:
McAfee
Computer Associates
McAfee
Computer Associates
Gelieve uw anti-virussite te raadplegen
Veuillez consulter votre site anti-virus
---------------------------------------------------
Cette page est destinée à la diffusion d'informations urgentes concernant les virus informatiques. Deze bladzijde is bestemd om dringende inlichtingen te verspreiden over computervirussen.
Depuis la fin de l'année 2000, il est également possible à toute personne intéressée de s'inscrire à une liste de diffusion afin de recevoir automatiquement un message lorsque la page reprenant la dernière alerte est modifiée. Sinds eind 2000 kan het publiek zich laten inschrijven op een mailinglijst om automatisch een melding toegestuurd te krijgen wanneer de viruswarning-pagina van de website van het Instituut wordt aangepast naar aanleiding van een alarm.
bipt - ibpt home
|