======================================================================= Message du CERT-RENATER (certsvp@renater.fr) ======================================================================= W32.Badtrans.B L'actualite des vers/virus Internet est, en ce moment, marquee par le debut de propagation du ver W32.Badtrans.B Les editeurs de logiciels anti-virus recoivent beaucoup de rapports tendant a indiquer, qu'un certain nombre d'echantillons du ver sont actuellement en circulation. Nous n'avons cependant pas encore recu de remontee de problemes en provenance de notre communaute. Ce ver se propage au moyen de la messagerie electronique. Le message recu est au format HTML. Il est accompagne d'une piece jointe. Le corps du message est souvent vide mais il pourrait aussi contenir le texte suivant: "Take a look to the attachment" Le nom de la piece jointe varie. Dans la plupart des cas il semble s'agir d'un nom de fichier dote d'une double extension. Forme generale du nom: 'NOM.ext1.ext2' Parmi les possibilites signalees, on a pu retenir qu'il se pouvait que: le NOM soit choisi parmi les possibilites suivantes: fun Humor docs info Sorry_about_yesterday Me_nude Card SETUP stuff YOU_are_FAT! HAMSTER news_doc New_Napster_Site README images Pics ext1 pourrait etre: DOC MP3 ZIP et ext2: pif scr Dans son mecanisme, le ver utilise une vulnerabilite d'Internet Explorer decrite dans l'avis suivant: http://www.microsoft.com/technet/security/bulletin/MS01-020.asp. Le seul fait de consulter le message provoque l'activation du ver, meme si l'utilisateur ne clique pas sur la piece jointe. Les clients de messagerie Outlook sont vulnerables a ce probleme. Appliquer le correctif de securite est une precaution absolument necessaire. Une fois active le ver va entreprendre toute une serie d'actions. Parmi celles-ci notons qu'il va deposer sur le systeme un cheval de Troie, charge d'enregistrer les touches frappees au clavier par l'utilisateur (cela peut permettre par exemple de recuperer des mots de passe). Il va aussi rechercher sur le systeme de nouvelles cibles a qui envoyer de nouveaux messages infectes. La plupart des editeurs de logiciel d'antivirus ont deja mis au jour leurs bases de donnees de signatures anti-virales. Il est fortement recommande de mettre au jour vos logiciels antivirus. Pour plus de details sur les modifications apportees au systeme et le fonctionnement du ver, consulter: http://www.sophos.fr/virusinfo/analyses/w32badtransb.html http://securityresponse.symantec.com/avcenter/refa.html#removal (avec les mesures a prendre pour l'enlever manuellement) http://vil.nai.com/vil/virusSummary.asp?virus_k=99069 http://www.F-Secure.com/v-descs/badtrans.shtml http://www.computing.vnunet.com/News/1127123 Cordialement, ====================================================================== ========================================================= Les serveurs de référence du CERT-Renater http://www.urec.fr/securite http://www.cru.fr/securite http://www.renater.fr ========================================================= + CERT-RENATER | tel : 01-53-94-20-44 + + 151 bd de l'Hopital | fax : 01-53-94-20-41 + + 75013 Paris | email: certsvp@renater.fr + =========================================================