*** ATTENTION *** Attaque de BUGBEAR.B [Fermé]

Signaler
Messages postés
5781
Date d'inscription
lundi 8 octobre 2001
Statut
Contributeur sécurité
Dernière intervention
14 avril 2012
-
 John NC -
Bonjour à tous,

Soyez vigilants !
Je ne peux pas m'étendre car j'ai des infections à traiter dans ma société !
Bugbear.B a été détecté hier aux US et c'est la grande infection aujourd'hui là-bas !
Google commence à connaître... les éditeurs d'anti virus cherchent 1/ à détecter 2/ à réparer !

VIGILANCE ! voir http://www.messagelabs.com/

@12C4 ... In medio stat virtus ...
Ipl

47 réponses

Messages postés
33567
Date d'inscription
jeudi 14 octobre 2004
Statut
Modérateur
Dernière intervention
24 février 2011
1 659
Moi j'ai toute une liste de diffusion de mes copains infectes par klez, et apparement il y en a pas mal qui ne sont aps protege alors regulierement je recoit des messages zarbi de ce groupe la...

.  .
\_/

Merci à toi... je m'attends à avoir quel coup de fil :)

ouinnnnn plein de boulot :'(

Avant d'admettre l'absurde, on épuise toutes les solutions
------=>As Monaco - Toujours avec toi<=------
Messages postés
37919
Date d'inscription
jeudi 4 avril 2002
Statut
Modérateur
Dernière intervention
24 février 2020
1 730
tidjuuuuu !

Chouba
Casque Bleu forumique
Messages postés
17830
Date d'inscription
mardi 3 juillet 2001
Statut
Modérateur
Dernière intervention
11 mars 2015
101
merci IPL je surveille :D

.O  Sauvez Mary, mangez Chouba:-D
(_)__
... Castor
Messages postés
5781
Date d'inscription
lundi 8 octobre 2001
Statut
Contributeur sécurité
Dernière intervention
14 avril 2012
519
Re,

La grande majorité des AV ne connaissent pas (et ne détectent rien).

- scan http://www.secuser.com/antivirus/
et tentative d'éradication (ou de suppression si fichier temp)
- Lancer Windows Explorer
- aller voir le dossier Démarrage de All Users j'ai bien dit all users... le vache ! vous trouverez un .EXE ; essayer de supprimer (le système refusera) ou renommez en .abc
- redémarez Windows ; vous aurez une fenêtre "Ouvrir avec.." (le fichier .abc ci-dessus)
- allez supprimer ce fichier .abc
- profitez en pour nettoyer le disque de tous les fichiers inutiles (Temp, TIF, Historique, cookies, corbeille)
- scan http://www.secuser.com/antivirus/

C'est bon !
Surveillez l'antidote à venir pour repasser un coup !

@12C4 ... In medio stat virtus ...
Ipl
Messages postés
33213
Date d'inscription
mercredi 29 août 2001
Statut
Modérateur
Dernière intervention
21 octobre 2019
14 759
Merci pour l'info, et pour la méthode de nettoyage !
ipl
Messages postés
5781
Date d'inscription
lundi 8 octobre 2001
Statut
Contributeur sécurité
Dernière intervention
14 avril 2012
519
;-)

@12C4 ... In medio stat virtus ...
Ipl
Messages postés
5781
Date d'inscription
lundi 8 octobre 2001
Statut
Contributeur sécurité
Dernière intervention
14 avril 2012
519
Re,

Quelques infos supplémentaires !

- Trend online détecte mais ne corrige rien
- en plus du fichier .exe dans le dossier Démarrage de all users (au fait... y compris dans Ws9x-ME) :
--- 3 fichiers .dll créés le jour de l'infection dans C:\WinNT\System32 (j'ai W2K)... n'est-ce pas bizarre çà ! 3, pas 4 : 3 !
--- les noms sont bien sûrs, divers : ozzkrdh.dll fsstsx.dll, zggmpkc.dll, goomlvq.dll (infecté), spptic.dll, zrrkcnq.dll... notez les doubles lettres en position 2 et 3 ! ces fichiers n'existent pas dans d'autres systèmes sains !



C'est bon, je n'ai pas beaucoup d'idiots qui ont ouvert les fichiers ! ;-)
Je n'ai pas parlé du mode de contamination... mais c'est le style Bugbear.A...

@12C4 ... In medio stat virtus ...
Ipl
Messages postés
5781
Date d'inscription
lundi 8 octobre 2001
Statut
Contributeur sécurité
Dernière intervention
14 avril 2012
519
Rebonjour à tous,

Bien sûr, les choses décrites ci-dessus sont les cas simples d'infection toute récente !
En cas d'utilisation de l'ordi, il y a :
- infection des .exe (Winzip, Acroread),
- envoi à des correspondants du carnet d'adresse (Outlook ???) avec spoofing !

Cà c'était dans mon groupe !
Heureusement chez moi, nous avons un deal avec la société Sophos et sur notre demande aujourd'hui, ils ont immédiatement analysé le cas et mis à jour tout de suite pour une détection... ouf, c'est mieux qu'en aveugle !

Maintenant, dans les cas généraux, je vous laisse voir la doc Bugbear.A...

@12C4 ... In medio stat virtus ...
Ipl
Messages postés
24683
Date d'inscription
mardi 30 novembre 1999
Statut
Modérateur
Dernière intervention
16 décembre 2016
163
merci pour tout ipl !

Serge 
Emplacement à louer !
ipl
Messages postés
5781
Date d'inscription
lundi 8 octobre 2001
Statut
Contributeur sécurité
Dernière intervention
14 avril 2012
519
La moindre des choses Serge ! lorsque des virus se pointent dans un groupe très sécurisé... ya des dégats ! si je peux aider des collègues et leur éviter de passer la nuit... !

En tout cas, mettez les tables d'Av à jour et soyez tous vigilants !
Attention aussi aux infections Html -Outlook Express (ou Web mais plus rare !)- !

@12C4 ... In medio stat virtus ...
Ipl
Messages postés
5781
Date d'inscription
lundi 8 octobre 2001
Statut
Contributeur sécurité
Dernière intervention
14 avril 2012
519
Rebonsoir,

Excusez moi de ne pas trop participer cet aprèm mais c'est l'aventure ici ! zut... Teebo va me dépasser ! LOL
Pas eu le temps d'aller au café non plus ;-)

Demain, j'espère avoir un antidote de la société Sophos (pour le moment, leur première version prend 2 heures par ordinateur !!!).
Si les autres éditeurs n'ont rien sorti de mieux demain, je tiendrai le fix à votre disposition !



@12C4 ... In medio stat virtus ...
Ipl
Messages postés
5781
Date d'inscription
lundi 8 octobre 2001
Statut
Contributeur sécurité
Dernière intervention
14 avril 2012
519
Hi all!

Wow... du piment aujourd'hui ! very exciting!

J'ai fait la campagne Nimda... ma plus belle aventure ! ma plus impressionnante !
J'ai eu quelques cas Bugbear...
et là, quelques cas BugBear.B !

@12C4 ... In medio stat virtus ...
Ipl
Messages postés
5781
Date d'inscription
lundi 8 octobre 2001
Statut
Contributeur sécurité
Dernière intervention
14 avril 2012
519
Bonsoir à tous,

Pour compléter le sujet :
- voici l'alerte de SecUser -> http://www.secuser.com/alertes/2003/bugbearb.htm
- voici l'antidote -> http://www.secuser.com/telechargement/index.htm#BugbearB

Je rappelle qu'un antivirus est destiné à protéger le système contre les milliers de virus ; il ne faut pas trop compter sur le programme antivirus pour éradiquer (s'il veut bien, OK mais...)... NAV propose facilement de mettre en quarantaine, ne vous laissez pas avoir, répondez non et passez l'antidote ! un antidote est un programme léger développé pour éradiquer un seul virus (ou disons une famille) !

Programme généraliste : détection, protection en arrière plan et scan "batch"
Antidote : désinfection adaptée !

@12C4 ... In medio stat virtus ...
Ipl

Heelo

Microsoft fourni cela :

http://support.microsoft.com/default.aspx?scid=kb;fr;f329770


Avant d'admettre l'absurde, on épuise toutes les solutions
------=>As Monaco - Toujours avec toi<=------
Messages postés
33213
Date d'inscription
mercredi 29 août 2001
Statut
Modérateur
Dernière intervention
21 octobre 2019
14 759
Messages postés
5781
Date d'inscription
lundi 8 octobre 2001
Statut
Contributeur sécurité
Dernière intervention
14 avril 2012
519
Bonjour à tous,

Information du jour_

Message Labs... voyez les "dégats d'hier" :
- BugBear.B #1
- SoBig.C #2
http://www.messagelabs.com/viruseye/threats/default.asp

Bonne journée... sans virus ! ;-)

@12C4 ... In medio stat virtus ...
Ipl
Messages postés
5781
Date d'inscription
lundi 8 octobre 2001
Statut
Contributeur sécurité
Dernière intervention
14 avril 2012
519
Rebonjour à tous,

Une autre URL vers un antidote de McAfee -> http://vil.nai.com/vil/stinger/ (multi virus)
---
Download Stinger.exe v1.7.1 [669,191 bytes] (6/5/2003)
This version of Stinger includes detection for all known variants of W32/Fizzer@MM, W32/Lovgate@M, BackDoor-AQJ, W32/SQLSlammer, W32/Lirva, W32/Yaha@MM, W32/Bugbear@MM, W32/Elkern, W32/Klez, W32/Nimda@MM, W32/Sircam@MM, and W32/Funlove@MM
---

@12C4 ... In medio stat virtus ...
Ipl
Shaggy_2_Dope
Messages postés
379
Date d'inscription
mercredi 30 avril 2003
Statut
Membre
Dernière intervention
31 juillet 2008
5
Hello ici

je me permet de remonter le thread !
merci pour tout ipl je pense que ca servira pour ma fac ;-)

Shaggy_2_Dope
Messages postés
5781
Date d'inscription
lundi 8 octobre 2001
Statut
Contributeur sécurité
Dernière intervention
14 avril 2012
519
Rebonjour à tous,

Je me rends compte que les 2 antidotes que j'ai indiqués
- bitdefender (Secuser)
- nai-McAfee
ne me donnent pas du tout satisfaction... à moins qu'ils n'aient été gênés par mon Sophos !
Je n'ai pas essayé l'antidote ionné par SebSauvage -> http://securityresponse.symantec.com/avcenter/venc/data/w32.bugbear.b@mm.removal.tool.html

Je continue à désinfecter à la main et tout marche bien !



Procédure :
- pour vérifier l'infection, en cas de doute, aller voir le dossier démarrage de all users ! fichier .EXE ? si oui, infection !
- scan http://www.secuser.com/antivirus/
et tentative d'éradication (ou de suppression si fichier temp)
- Lancer Windows Explorer
- aller voir le dossier Démarrage de All Users j'ai bien dit all users... le vache ! vous trouverez un .EXE ; essayer de supprimer (le système refusera) ou renommez en .abc et essayer de supprimer
- redémarez Windows ; vous aurez une fenêtre "Ouvrir avec.." (le fichier .abc ci-dessus)
- allez supprimer ce fichier .abc... si pas possible aller le supprimer en Dos !
- aller dans C:\WinNT\System32 pour W2K/XP ou dans C:\Windows\System et mettez de côté dans un répertoire d'attente, les 3 (2000) ou 2 (98) DLL de la date du jour (Une des DLL est infectée)
- Désinstaller WinZip et réinstaller
- Désinstaller Acrobat Reader et réinstaller
- profitez en pour nettoyer le disque de tous les fichiers inutiles (Temp, TIF, Historique, cookies, corbeille)
- scan http://www.secuser.com/antivirus/

@12C4 ... In medio stat virtus ...
Ipl
Messages postés
33213
Date d'inscription
mercredi 29 août 2001
Statut
Modérateur
Dernière intervention
21 octobre 2019
14 759
Pour ceux qui ont McAfee: la mise à jour 4270 détecte ce virus.
http://www.mcafeeb2b.com/naicommon/download/dats/find.asp

Pour AntiVir, c'est la mise à jour 6.20.00.05:
http://www.free-av.de/updates/personal/vdf/antivir.vdf

Pour F-Prot, c'est le fp-def.zip daté "05 Jun 2003":
http://www.f-prot.com/cgi-bin/get_randomly?fp-def
Messages postés
2713
Date d'inscription
jeudi 30 mai 2002
Statut
Contributeur
Dernière intervention
26 décembre 2007
134
Salut,

Pour Norton la mise à jour est celle du 6 (celle du premier juin ne détecte rien).
Je viens de le reçevoir ds un fichier My money.mny.scr.

A+  K.
Messages postés
5781
Date d'inscription
lundi 8 octobre 2001
Statut
Contributeur sécurité
Dernière intervention
14 avril 2012
519
Bonjour Kuching, bonjour à tous,

>celle du premier juin ne détecte rien
Ce virus a été détecté le 4 juin aux US.
Ce n'est que le 5 que les éditeurs AV ont commencé à diffuser des maj permettant la détection !
... pour la réparation, il faudra repasser !

Les 2 antidotes que j'ai essayés (bitdefender du 6 et McAfee du 6) sont inopérants... peut-être se sont-ils améliorés depuis.
Comme ma procédure manuelle fonctionne bien, çà me va ! Il est vrai qu'un antidote efficace serait le bienvenu parce que, par téléphone, avec un(e) utilisateur(trice) léger(ère), c'est galère !!!
;-)

@12C4 ... In medio stat virtus ...
Ipl
1 2 3