Virus Badtrans.B - Article la Gruyère du 29 novembre 2001

Article du 29 novembre 2001, complété

Le virus Badtrans.B

Le nouveau virus est arrivé!
Un peu en retard sur le Beaujolais Nouveau, un nouveau virus fait des ravages depuis le 25 novembre. Il s'agit du virus W32.Badtrans.B@mm. Il s'attaque au système d'exploitation Windows équipé de la messagerie Outlook et Outlook Express. Le programme pirate, caché dans un petit programme exécutable, ira rechercher les mots de passe dans votre PC et observer si vous saisissez des codes bancaires au clavier, pour ensuite les transmettre vers le pirate.
Plus gênant encore, le virus s'implante dans votre machine sans même que vous ayez ouvert l'annexe. Sans anti-virus vraiment à jour, vous serez automatiquement infecté. Le plus gênant est qu'ensuite, le virus se propage automatiquement et à votre insu, à tous les destinataires de votre carnet d'adresses et de tous les adresses e-mail trouvées dans les pages du web que vous avez consultées et qui se trouvent encore dans le dossier cache de votre ordinateur. On comprend dès lors que l'épidémie ait déjà pris des proportions endémiques mondiales.
Une seule solution: avant d'aller consulter votre courrier électronique (important!) , faites préalablement la mise à jour de votre anti-virus (live update).

Informations techniques

Badtrans.B est une variante du virus Badtrans. Ce virus de mail résident se présente sous la forme d'un message vide accompagné d'un fichier joint souvent non visible dont le nom est composé aléatoirement à partir d'un nom parmi FUN, HUMOR, DOCS, S3MSONG, Sorry_about_yesterday, ME_NUDE, CARD, SETUP, SEARCHURL, YOU_ARE_FAT!, HAMSTER, NEWS_DOC, New_Napster_Site, README, IMAGES, PICS puis une extension .DOC., .MP3. ou .ZIP., puis une seconde extension .pif ou .scr (visible uniquement si Windows est configuré pour afficher toutes les extensions), donc par exemple NEWS_DOC.MP3.scr. Le sujet du message est une réponse à un mail précédemment envoyé au correspondant infecté, afin de ne pas éveiller la méfiance du destinataire ("Re: [titre du mail]").

Le virus s'exécute automatiquement à l'ouverture du mail ou lors de son affichage dans la fenêtre de prévisualisation d'Outlook, si le navigateur est une version d'Internet Explorer 5.01 ou 5.5 non patchée contre une vulnérabilité MIME connue. Même lorsque le patch a été appliqué, l'ouverture ou la prévisualisation du message peut déclencher automatiquement une fenêtre invitant à ouvrir ou enregistrer le fichier joint.

Si le fichier joint est exécuté, le virus se copie dans le répertoire System de Windows sous le nom Kernel32.exe, modifie la base de registre pour s'exécuter automatique au prochain démarrage (HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ RunOnce\kernel32 = “kernel32.exe”), puis s'envoie automatiquement en répondant à tous les messages non lus de la boîte de réception ainsi qu'aux adresses emails trouvées dans les pages HTML et ASP du répertoire Mes Documents et du cache internet en ajoutant un caractère "_" à l'adresse de l'expéditeur afin de faire échouer les mails envoyés en retour pour le prévenir. Le virus continue ensuite à s'envoyer à chaque nouveau correspondant envoyant un mail à la personne infectée ou à laquelle cette personne écrit. Badtrans.B installe enfin dans le répertoire System la backdoor PWS-AV sous le nom KDLL.DLL : cette dernière enregistre les frappes au clavier lorsqu'une fenêtre Windows contient un mot-clé sensible ("log", "pass", "rem", "con", "ter", "net"), stocke les informations dans un fichier cp_25389.nls, puis les envoie périodiquement à plusieurs adresses emails.

Comment éliminer le virus de son ordinateur
Pour supprimer Badtrans.B, utiliser préférentiellement un antivirus à jour ou sinon procéder manuellement en supprimant le fichier CP_25389.NLS, puis la valeur de la clé ((HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ RunOnce\kernel32 = “kernel32.exe”)de la base de registres, redémarrer l'ordinateur puis supprimer les fichiers Kernel32.exe et Kdll.dll. Attention : il ne faut pas supprimer un fichier sans avoir confirmé l'infection avec un antivirus.

Liens

Le site Windows Update pour mettre à jour Internet Explorer (ou sinon le Security Bulletin MS01-020)
Antivirus en ligne gratuit pour éliminer le virus en cas d'infection

autres Antivirus en ligne:

Symantec (Norton)
Kaspersky

Autres informations sur le virus, communiquées par Planet Communications

SÉCURITÉ Badtrans.B : le virus qui 'écoute' vos mots de passe
Il se présente comme un correspondant connu, s'auto-exécute à l'affichage, se cache de l'expéditeur initial et enregistre tout ce qui est frappé au clavier, mot de passe et autres informations confidentielles. C'est le virus Badtrans.B, une variante de Badtrans, qui a envahit la Toile en quelques jours. Si les entreprises ont pour beaucoup pris les bonnes dispositions, les particuliers sont les plus touchés.

"Le virus a finalement battu Sircam qui est resté n° 1 de notre classement pendant quatre mois." Ce triste record de propagation, relevé sur le site MessageLabs, est détenu par une nouvelle variante de BadTrans. Découvert le 23 novembre dernier, BadTrans.B se répand très vite à travers les clients e-mail Outlook et Outlook Express non "patchés" de Microsoft. Lundi 26 novembre au matin, MessageLabs détectait une centaine de mails infectés par minute. Si MessageLabs l'identifie comme provenant de Grande-Bretagne, une cinquantaine de pays sont déjà touchés, dont la France. Les imperfections des logiciels ne sont pas seuls en cause. Badtrans.B est un virus intelligemment conçu, tant dans son mode de déploiement et d'infection que dans son objectif final.

Badtrans.B apparaît en effet comme la réponse d'un correspondant à qui l'on a précédemment adressé un courrier. L'origine du mail est donc trompeuse en soit. D'autant que le message d'entête varie. Nous avons, à VNUnet, reçu un message infecté avec l'entête : "Re: Tr: CHANGEMENT DE COORDONNÉES !!! A METTRE A JOUR". Difficile de se méfier quand on connaît effectivement l'expéditeur. Heureusement, le fichier joint, qui contient l'application infectieuse et qui, comme pour l'entête, peut prendre un nom aléatoire (stuff, info, Me_nude, fun, news, etc.), possède une double extension : .MP3, .DOC ou .ZIP, suivi de .pif ou .scr. Encore faut-il avoir activé l'affichage des extensions sous Windows. Le mail reçu à la rédaction proposait simplement "CARD.DOC.pif", que l'on peut rapidement assimiler à la carte de visite virtuelle jointe aux courriers électroniques. Malheureusement, Badtrans.B exploite une faille connue liée à l'entête MIME qui permet d'exécuter le fichier joint à partir de l'affichage du message dans la fenêtre de prévisualisation d'Outlook. Microsoft met en ligne un correctif pour éviter ce mode d'infection.

Discret mais à l'écoute du clavier
Plus malin, Badtrans.B ajoute un souligné ("_") en début d'adresse e-mail de l'expéditeur. Si bien que l'expéditeur involontaire du virus ne peut être joint ni informé du contenu infectieux de ses messages. Y compris avec les systèmes de réponse automatique des anti-virus installés sur les serveurs de messagerie des entreprises. Mais le pire est le pouvoir du virus en lui même. Badtrans.B modifie la base de registre de Windows (au niveau HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\RunOnce kernel32 = kern32.exe) afin de s'exécuter à chaque démarrage du système. Il s'auto-envoie à tous les correspondants du carnet d'adresses, allant même jusqu'à "répondre" aux correspondants qui s'adressent à l'utilisateur infecté. Il est de plus difficile à détecter sans anti-virus puisqu'il ne détruit aucun fichier et ne cherche pas à déstabiliser le système. Ce qu'il fait est bien plus dangereux pour l'utilisateur. Il installe dans le répertoire System le cheval de Troie KDLL.DLL qui espionne tout ce qui est saisi au clavier. Mots de passe comme numéro de carte bancaire, notamment, n'ont ainsi plus de secret pour les auteurs du virus. Effrayant !

Les particuliers seraient les principales victimes de Badtrans puisque, selon MessageLabs, 93 % des e-mail britanniques infectés proviennent de fournisseurs d'accès plutôt grand public. Les entreprises ont donc rapidement su prendre les dispositions nécessaires pour éviter la contamination. Notamment en corrigeant Outlook en temps et en heure. Encore une fois, les auteurs de virus profitent des systèmes non mis à jour. Répétons-le donc avec force, il faut impérativement installer les mises à jour de sécurité proposées par les éditeurs !

Christophe Lagane

Article diffusé par
Planet Communications, Doninique Augsburger

Auteur: Pierre Schwaller (Pierre.Schwaller@lyoba.ch)

Dernière mise à jour: 25.01.12