|
|
Badtrans.B est une variante
du virus Badtrans.
Ce virus de mail résident se présente sous la forme d'un
message vide accompagné d'un fichier joint souvent non visible
dont le nom est
composé aléatoirement à partir d'un nom parmi :
FUN, HUMOR, DOCS, S3MSONG, Sorry_about_yesterday, ME_NUDE, CARD, SETUP, SEARCHURL
YOU_ARE_FAT!, HAMSTER,
NEWS_DOC, New_Napster_Site, README, IMAGES, PICS puis une extension .DOC., .MP3.
ou .ZIP.,
(un bug dans le virus l'empêche de sélectionner l'option ".ZIP")
puis une seconde extension .pif ou .scr (visible uniquement si Windows
est configuré pour afficher toutes les extensions)
donc par exemple
NEWS_DOC.MP3.scr.
Le sujet du message est généralement une réponse à un mail
précédemment envoyé au correspondant infecté
afin de ne pas éveiller la
méfiance du destinataire.
Le virus s'exécute
automatiquement à l'ouverture du mail ou lors de son affichage dans la fenêtre
de prévisualisation d'Outlook
si le navigateur est une version d'Internet
Explorer 5.01 ou 5.5 non patchée contre une vulnérabilité MIME connue.
Même
lorsque le patch a été appliqué
l'ouverture ou la prévisualisation du message
peut déclencher automatiquement une fenêtre invitant à ouvrir ou enregistrer le
fichier joint.
Si le fichier joint est
exécuté, le virus se copie dans le répertoire System de Windows sous le nom
Kernel32.exe
modifie la base de registre pour s'exécuter automatique au
prochain démarrage
(HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\
CurrentVersion\ RunOnce\kernel32 = "kernel32.exe")
puis s'envoie
automatiquement à tous les correspondants présents dans le carnet
d'adresses
en ajoutant
un caractère "_" à l'adresse de l'expéditeur afin de faire échouer les mails
envoyés en retour pour le prévenir.
Le virus continue ensuite à s'envoyer à
chaque nouveau correspondant envoyant un mail à la personne infectée.
Badtrans.B installe enfin dans le répertoire System la backdoor PWS-AV sous le
nom KDLL.DLL :
cette dernière enregistre toutes les frappes au clavier (donc
potentiellement sensibles)
les stocke dans un fichier cp_25389.nls, puis les
envoie périodiquement à l'adresse uckyjw@hotmail.com.
Dans la barre de tâches Windows, sélectionnez Démarrer|Exécuter. Tapez dans le champ "Regedit" et appuyez sur entrée. L'éditeur de la base de registre s'ouvre.
Avant d'éditer le registre, il est recommandé de faire une sauvegarde. Pour ce faire, dans le menu Registre, cliquez sur Exporter le fichier du registre, dans Etendue de l'exportation, sélectionner Tout, puis enregistrez le registre comme Sauvegarde.
Localisez la clé :
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
et effacez la valeur suivante, si elle existe :
Kernel32
elle pointe vers un fichier appelé kernel32.exe.
Vous devez maintenant fermer l'Editeur du registre et redémarrer votre machine
Retour
au menu virus