Virus and worm

Badtrans.B

26 novembre 2001 - Badtrans.B est une variante du virus Badtrans. Ce virus de mail résident se présente sous la forme d'un message vide accompagné d'un fichier joint souvent non visible dont le nom est composé aléatoirement à partir d'un nom parmi FUN, HUMOR, DOCS, S3MSONG, Sorry_about_yesterday, ME_NUDE, CARD, SETUP, SEARCHURL, YOU_ARE_FAT!, HAMSTER, NEWS_DOC, New_Napster_Site, README, IMAGES, PICS puis une extension .DOC., .MP3. ou .ZIP., puis une seconde extension .pif ou .scr (visible uniquement si Windows est configuré pour afficher toutes les extensions), donc par exemple NEWS_DOC.MP3.scr. Le sujet du message est une réponse à un mail précédemment envoyé au correspondant infecté, afin de ne pas éveiller la méfiance du destinataire ("Re: [titre du mail]").

Le virus s'exécute automatiquement à l'ouverture du mail ou lors de son affichage dans la fenêtre de prévisualisation d'Outlook, si le navigateur est une version d'Internet Explorer 5.01 ou 5.5 non patchée contre une vulnérabilité MIME connue. Même lorsque le patch a été appliqué, l'ouverture ou la prévisualisation du message peut déclencher automatiquement une fenêtre invitant à ouvrir ou enregistrer le fichier joint.

Si le fichier joint est exécuté, le virus se copie dans le répertoire System de Windows sous le nom Kernel32.exe, modifie la base de registre pour s'exécuter automatique au prochain démarrage (HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ RunOnce\kernel32 = “kernel32.exe”), puis s'envoie automatiquement en répondant à tous les messages non lus de la boîte de réception ainsi qu'aux adresses emails trouvées dans les pages HTML et ASP du répertoire Mes Documents et du cache internet en ajoutant un caractère "_" à l'adresse de l'expéditeur afin de faire échouer les mails envoyés en retour pour le prévenir. Le virus continue ensuite à s'envoyer à chaque nouveau correspondant envoyant un mail à la personne infectée ou à laquelle cette personne écrit. Badtrans.B installe enfin dans le répertoire System la backdoor PWS-AV sous le nom KDLL.DLL : cette dernière enregistre les frappes au clavier lorsqu'une fenêtre Windows contient un mot-clé sensible ("log", "pass", "rem", "con", "ter", "net"), stocke les informations dans un fichier cp_25389.nls, puis les envoie périodiquement à plusieurs adresses emails.

Pour supprimer Badtrans.B, utiliser préférentiellement un antivirus à jour ou sinon procéder manuellement en supprimant le fichier CP_25389.NLS, puis la valeur de la clé ci-dessus dans la base de registres, redémarrer l'ordinateur puis supprimer les fichiers Kernel32.exe et Kdll.dll. Attention : il ne faut pas supprimer un fichier sans avoir confirmé l'infection avec un antivirus.