Alerte Virus : Propagation rapide du nouveau ver Bagle

W32/Bagle-A est un ver qui s'envoie à des adresses recueillies à partir de fichiers présentés sur le disque dur. Le ver falsifie le champ "Expéditeur" dans les e-mails qu'il envoie, ce qui signifie qu'il peut sembler provenir de quelqu'un que vous connaissez.

W32/Bagle-A a les caractéristiques suivantes :
 Objet : Hi
Corps du message :
Test =)
[caractères aléatoires]
--
Test, yep.
Pièce jointe : .exe

 


 

La pièce jointe porte l'icône de la Calculatrice de Windows. Le ver lance délibérément l'application Calculatrice comme déguisement. W32/Bagle-A se copie dans bbeagle.exe dans le dossier système Windows et paramètre dans le registre l'entrée suivante pour s'assurer que le ver est exécuté à l'ouverture de session :

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\d3dupdate.exe

Le ver paramètre par ailleurs les entrées suivantes du registre :

HKCU\Software\Windows98\uid
HKCU\Software\Windows98\frun

W32/Bagle-A comporte un composant de porte dérobée qui surveille le port TCP 6777. Cela permet à l'attaquant de télécharger et d'exécuter des programmes arbitraires sur les ordinateurs infectés. A noter que : W32/Bagle-A ne s'active pas si la date du système est le 28 janvier 2004 ou après cette date.

Utiliser notre : Antivirus EnLigne
 

Source : K-OTik.COM / Sophos / Symantec     
  

Audits de Sécurité & Tests Intrusifs Mailing Listes Advisories Service Publicitaire

Tous droits réservés © 2002-2004 K-OTiK Security Voir Notice Légale   

actualité informatique  Exploits