FrEn

Envoyer Imprimer

Bagle - Un Fix pour bagle et toutes ses variantes
Écrit par Administrator  |  Vendredi, 18 Septembre 2009 07:56
AddThis Social Bookmark Button
Alias Voici les Alias de Bagle et de ses variantes par les éditeurs d'Antivirus

  • W32/Bagle.gen [McAfee]
  • PWS-Bluedit [McAfee]
  • Generic.dx [McAfee]
  • TROJ_BAGLE.OU [Trend Micro]
  • TROJ_BAGLE.AO [Trend Micro]
  • WORM_BAGLE.KO [Trend Micro]
  • Trojan.DL.VB.ACWT.Gen [PCTools]
  • Worm.Bagle.RR [PCTools]
  • Email-Worm.Bagle!sd5 [PCTools]
  • Email-Worm.Win32.Bagle.jo [Kaspersky Lab]
  • Trojan.Lodeight.C [Symantec]

Information La plupart du temps, le virus Beagle et compagnon stoppe les Antivirus et bloque votre connexion si vous tentez d'aller sur des sites de téléchargement ou de scan en ligne, ils désactivent même le firewall de Windows et le partage de connexion Internet en stoppant ALG, SharedAccess et wscsvc ce qui rend votre pc vulnérable.

Ce virus utilise le réseau pour se répandre, il exploite le registre au maximum pour être lancé à chaque démarrage du système. Heureusement qu'il n'a pas exploité les partitions avec les fichiers autorun.inf pour empirer la situation.

Comme vous le savez déjà, ce n'est pas un seul virus qu'on traite ici mais tout ce qui est Bagle, il y en a une dizaine, on ne va pas vous donner en détail chaque particularité de chaque variante mais les principales actions et paramètres touchés par le virus.


Fichier La plupart du temps, le virus Bagle mets trois fichiers dans le répertoire système de Windows :

  • <System>\mdelk.exe
  • <System>\wintems.exe
  • <System>\IExplorer.dll .dbt
  • <System>\ansi.exe
Place aussi un fichier avec un nom aléatoire dans le dossier Windows, le plus souvent "fghrtuyjfghr.exe" ou "fghuirhfghr.exe"

  • <Windows>\fghrtuyjfghr.exe

Le virus crée un dossier m dans le répertoire AppData et y met un fichier nommé flec006.exe

  • <AppData>\m\flec006.exe

Registre Crée les clés de registre :

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • mule_st_key
    • <AppData>\m\flec006.exe
  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
    • IESet
    • IExplorer.dll .dbt
  • HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run
    • IESet
    • IExplorer.dll .dbt
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • IESet
    • IExplorer.dll .dbt

  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.dbt
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\DBTFILE
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\DBTFILE\shell
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\DBTFILE\shell\open
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\DBTFILE\shell\open\command
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Security Center
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Security Center\Svc
  • HKEY_CURRENT_USER\Software\FirstRRRun
  • HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications
  • HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\TestProg
  • HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\TestProg\Settings

Crée les valeurs de registre :

  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\edit\command
    • (Default) = fghrtuyjfghr.exe %1
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inifile\shell\open\command
    • (Default) = fghrtuyjfghr.exe %1
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\edit\command
    • (Default) = fghrtuyjfghr.exe %1
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\command
    • (Default) = fghrtuyjfghr.exe %1
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.dbt
    • (Default) = DBTFILE
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\DBTFILE\shell\open\command
    • (Default) = fghrtuyjfghr.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    • IESet = IExplorer.dll .dbt
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
    • EnableLUA
    • 0x00000000
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Security Center\Svc]
    • EnableLUA
    • 0x00000016
  • [HKEY_CURRENT_USER\Software\FirstRRRun]
    • First12Ru123n
    • 0x00000001

Supprime les paramètres de notepad pour que le virus démarrera à la place

  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\edit\command
    • (Default)
    • <System>\System32\NOTEPAD.EXE %1
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inifile\shell\open\command
    • (Default)
    • <System>\NOTEPAD.EXE %1
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\edit\command
    • (Default)
    • <system32>\NOTEPAD.EXE %1
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\command
    • (Default)
    • <system32>\NOTEPAD.EXE %1



ATTENTION Il est préférable de télécharger ce patch et de le décompresser sur le bureau, de redémarrer votre machine en mode sans échec et de lancer le patch, toujours en mode sans échec. La cause est qu'il y a deux processus de ce virus, mdelk.exe et wintems.exe, qui réside en mémoire, si vous supprimer l'un, l'autre va le démarrer et vice-versa.

Download
 

Articles connexes
Derniers articles

No data

.
Information | Contact

© All Rights Reserved. net-studio.org 2009