*** ATTENTION *** Attaque de BUGBEAR.B
Fermé
ipl
Messages postés
5723
Date d'inscription
lundi 8 octobre 2001
Statut
Contributeur sécurité
Dernière intervention
14 avril 2012
-
5 juin 2003 à 14:53
John NC - 18 mars 2004 à 12:32
John NC - 18 mars 2004 à 12:32
A voir également:
- *** ATTENTION *** Attaque de BUGBEAR.B
- Symbole attention word ✓ - Forum Word
- Triez la liste comme sur cette illustration (attention, on ne voit que le début …). quel est le mot formé par les 6 dernières lettres de la colonne code ? - Forum Excel
- Comment faire le symbole attention ✓ - Forum Loisirs / Divertissements
- Clip canard attaque - Forum Musique / Radio / Clip
- En attente de livraison fournisseur - Forum Consommation et internet
47 réponses
teebo
Messages postés
33478
Date d'inscription
jeudi 14 octobre 2004
Statut
Modérateur
Dernière intervention
24 février 2011
1 795
5 juin 2003 à 14:54
5 juin 2003 à 14:54
Moi j'ai toute une liste de diffusion de mes copains infectes par klez, et apparement il y en a pas mal qui ne sont aps protege alors regulierement je recoit des messages zarbi de ce groupe la...
. .
\_/
. .
\_/
Merci à toi... je m'attends à avoir quel coup de fil :)
ouinnnnn plein de boulot :'(
Avant d'admettre l'absurde, on épuise toutes les solutions
------=>As Monaco - Toujours avec toi<=------
ouinnnnn plein de boulot :'(
Avant d'admettre l'absurde, on épuise toutes les solutions
------=>As Monaco - Toujours avec toi<=------
choubaka
Messages postés
39153
Date d'inscription
jeudi 4 avril 2002
Statut
Modérateur
Dernière intervention
24 mars 2023
2 099
5 juin 2003 à 15:00
5 juin 2003 à 15:00
tidjuuuuu !
Chouba
Casque Bleu forumique
Chouba
Casque Bleu forumique
Castor
Messages postés
17747
Date d'inscription
mardi 3 juillet 2001
Statut
Modérateur
Dernière intervention
11 mars 2015
136
5 juin 2003 à 15:04
5 juin 2003 à 15:04
merci IPL je surveille :D
.O Sauvez Mary, mangez Chouba:-D
(_)__... Castor
.O Sauvez Mary, mangez Chouba:-D
(_)__... Castor
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
ipl
Messages postés
5723
Date d'inscription
lundi 8 octobre 2001
Statut
Contributeur sécurité
Dernière intervention
14 avril 2012
582
5 juin 2003 à 15:43
5 juin 2003 à 15:43
Re,
La grande majorité des AV ne connaissent pas (et ne détectent rien).
- scan http://www.secuser.com/antivirus/
et tentative d'éradication (ou de suppression si fichier temp)
- Lancer Windows Explorer
- aller voir le dossier Démarrage de All Users j'ai bien dit all users... le vache ! vous trouverez un .EXE ; essayer de supprimer (le système refusera) ou renommez en .abc
- redémarez Windows ; vous aurez une fenêtre "Ouvrir avec.." (le fichier .abc ci-dessus)
- allez supprimer ce fichier .abc
- profitez en pour nettoyer le disque de tous les fichiers inutiles (Temp, TIF, Historique, cookies, corbeille)
- scan http://www.secuser.com/antivirus/
C'est bon !
Surveillez l'antidote à venir pour repasser un coup !
@12C4 ... In medio stat virtus ...
Ipl
La grande majorité des AV ne connaissent pas (et ne détectent rien).
- scan http://www.secuser.com/antivirus/
et tentative d'éradication (ou de suppression si fichier temp)
- Lancer Windows Explorer
- aller voir le dossier Démarrage de All Users j'ai bien dit all users... le vache ! vous trouverez un .EXE ; essayer de supprimer (le système refusera) ou renommez en .abc
- redémarez Windows ; vous aurez une fenêtre "Ouvrir avec.." (le fichier .abc ci-dessus)
- allez supprimer ce fichier .abc
- profitez en pour nettoyer le disque de tous les fichiers inutiles (Temp, TIF, Historique, cookies, corbeille)
- scan http://www.secuser.com/antivirus/
C'est bon !
Surveillez l'antidote à venir pour repasser un coup !
@12C4 ... In medio stat virtus ...
Ipl
sebsauvage
Messages postés
32847
Date d'inscription
mercredi 29 août 2001
Statut
Modérateur
Dernière intervention
21 octobre 2019
15 656
5 juin 2003 à 15:56
5 juin 2003 à 15:56
Merci pour l'info, et pour la méthode de nettoyage !
ipl
Messages postés
5723
Date d'inscription
lundi 8 octobre 2001
Statut
Contributeur sécurité
Dernière intervention
14 avril 2012
582
5 juin 2003 à 15:59
5 juin 2003 à 15:59
;-)
@12C4 ... In medio stat virtus ...
Ipl
@12C4 ... In medio stat virtus ...
Ipl
ipl
Messages postés
5723
Date d'inscription
lundi 8 octobre 2001
Statut
Contributeur sécurité
Dernière intervention
14 avril 2012
582
5 juin 2003 à 16:06
5 juin 2003 à 16:06
Re,
Quelques infos supplémentaires !
- Trend online détecte mais ne corrige rien
- en plus du fichier .exe dans le dossier Démarrage de all users (au fait... y compris dans Ws9x-ME) :
--- 3 fichiers .dll créés le jour de l'infection dans C:\WinNT\System32 (j'ai W2K)... n'est-ce pas bizarre çà ! 3, pas 4 : 3 !
--- les noms sont bien sûrs, divers : ozzkrdh.dll fsstsx.dll, zggmpkc.dll, goomlvq.dll (infecté), spptic.dll, zrrkcnq.dll... notez les doubles lettres en position 2 et 3 ! ces fichiers n'existent pas dans d'autres systèmes sains !
C'est bon, je n'ai pas beaucoup d'idiots qui ont ouvert les fichiers ! ;-)
Je n'ai pas parlé du mode de contamination... mais c'est le style Bugbear.A...
@12C4 ... In medio stat virtus ...
Ipl
Quelques infos supplémentaires !
- Trend online détecte mais ne corrige rien
- en plus du fichier .exe dans le dossier Démarrage de all users (au fait... y compris dans Ws9x-ME) :
--- 3 fichiers .dll créés le jour de l'infection dans C:\WinNT\System32 (j'ai W2K)... n'est-ce pas bizarre çà ! 3, pas 4 : 3 !
--- les noms sont bien sûrs, divers : ozzkrdh.dll fsstsx.dll, zggmpkc.dll, goomlvq.dll (infecté), spptic.dll, zrrkcnq.dll... notez les doubles lettres en position 2 et 3 ! ces fichiers n'existent pas dans d'autres systèmes sains !
C'est bon, je n'ai pas beaucoup d'idiots qui ont ouvert les fichiers ! ;-)
Je n'ai pas parlé du mode de contamination... mais c'est le style Bugbear.A...
@12C4 ... In medio stat virtus ...
Ipl
ipl
Messages postés
5723
Date d'inscription
lundi 8 octobre 2001
Statut
Contributeur sécurité
Dernière intervention
14 avril 2012
582
5 juin 2003 à 18:13
5 juin 2003 à 18:13
Rebonjour à tous,
Bien sûr, les choses décrites ci-dessus sont les cas simples d'infection toute récente !
En cas d'utilisation de l'ordi, il y a :
- infection des .exe (Winzip, Acroread),
- envoi à des correspondants du carnet d'adresse (Outlook ???) avec spoofing !
Cà c'était dans mon groupe !
Heureusement chez moi, nous avons un deal avec la société Sophos et sur notre demande aujourd'hui, ils ont immédiatement analysé le cas et mis à jour tout de suite pour une détection... ouf, c'est mieux qu'en aveugle !
Maintenant, dans les cas généraux, je vous laisse voir la doc Bugbear.A...
@12C4 ... In medio stat virtus ...
Ipl
Bien sûr, les choses décrites ci-dessus sont les cas simples d'infection toute récente !
En cas d'utilisation de l'ordi, il y a :
- infection des .exe (Winzip, Acroread),
- envoi à des correspondants du carnet d'adresse (Outlook ???) avec spoofing !
Cà c'était dans mon groupe !
Heureusement chez moi, nous avons un deal avec la société Sophos et sur notre demande aujourd'hui, ils ont immédiatement analysé le cas et mis à jour tout de suite pour une détection... ouf, c'est mieux qu'en aveugle !
Maintenant, dans les cas généraux, je vous laisse voir la doc Bugbear.A...
@12C4 ... In medio stat virtus ...
Ipl
Serge
Messages postés
24560
Date d'inscription
mardi 30 novembre 1999
Statut
Modérateur
Dernière intervention
16 décembre 2016
204
5 juin 2003 à 18:24
5 juin 2003 à 18:24
merci pour tout ipl !
Serge
Emplacement à louer !
Serge
Emplacement à louer !
ipl
Messages postés
5723
Date d'inscription
lundi 8 octobre 2001
Statut
Contributeur sécurité
Dernière intervention
14 avril 2012
582
5 juin 2003 à 18:34
5 juin 2003 à 18:34
La moindre des choses Serge ! lorsque des virus se pointent dans un groupe très sécurisé... ya des dégats ! si je peux aider des collègues et leur éviter de passer la nuit... !
En tout cas, mettez les tables d'Av à jour et soyez tous vigilants !
Attention aussi aux infections Html -Outlook Express (ou Web mais plus rare !)- !
@12C4 ... In medio stat virtus ...
Ipl
En tout cas, mettez les tables d'Av à jour et soyez tous vigilants !
Attention aussi aux infections Html -Outlook Express (ou Web mais plus rare !)- !
@12C4 ... In medio stat virtus ...
Ipl
ipl
Messages postés
5723
Date d'inscription
lundi 8 octobre 2001
Statut
Contributeur sécurité
Dernière intervention
14 avril 2012
582
5 juin 2003 à 18:24
5 juin 2003 à 18:24
Rebonsoir,
Excusez moi de ne pas trop participer cet aprèm mais c'est l'aventure ici ! zut... Teebo va me dépasser ! LOL
Pas eu le temps d'aller au café non plus ;-)
Demain, j'espère avoir un antidote de la société Sophos (pour le moment, leur première version prend 2 heures par ordinateur !!!).
Si les autres éditeurs n'ont rien sorti de mieux demain, je tiendrai le fix à votre disposition !
@12C4 ... In medio stat virtus ...
Ipl
Excusez moi de ne pas trop participer cet aprèm mais c'est l'aventure ici ! zut... Teebo va me dépasser ! LOL
Pas eu le temps d'aller au café non plus ;-)
Demain, j'espère avoir un antidote de la société Sophos (pour le moment, leur première version prend 2 heures par ordinateur !!!).
Si les autres éditeurs n'ont rien sorti de mieux demain, je tiendrai le fix à votre disposition !
@12C4 ... In medio stat virtus ...
Ipl
ipl
Messages postés
5723
Date d'inscription
lundi 8 octobre 2001
Statut
Contributeur sécurité
Dernière intervention
14 avril 2012
582
5 juin 2003 à 18:40
5 juin 2003 à 18:40
Hi all!
Wow... du piment aujourd'hui ! very exciting!
J'ai fait la campagne Nimda... ma plus belle aventure ! ma plus impressionnante !
J'ai eu quelques cas Bugbear...
et là, quelques cas BugBear.B !
@12C4 ... In medio stat virtus ...
Ipl
Wow... du piment aujourd'hui ! very exciting!
J'ai fait la campagne Nimda... ma plus belle aventure ! ma plus impressionnante !
J'ai eu quelques cas Bugbear...
et là, quelques cas BugBear.B !
@12C4 ... In medio stat virtus ...
Ipl
ipl
Messages postés
5723
Date d'inscription
lundi 8 octobre 2001
Statut
Contributeur sécurité
Dernière intervention
14 avril 2012
582
6 juin 2003 à 01:32
6 juin 2003 à 01:32
Bonsoir à tous,
Pour compléter le sujet :
- voici l'alerte de SecUser -> http://www.secuser.com/alertes/2003/bugbearb.htm
- voici l'antidote -> http://www.secuser.com/telechargement/index.htm#BugbearB
Je rappelle qu'un antivirus est destiné à protéger le système contre les milliers de virus ; il ne faut pas trop compter sur le programme antivirus pour éradiquer (s'il veut bien, OK mais...)... NAV propose facilement de mettre en quarantaine, ne vous laissez pas avoir, répondez non et passez l'antidote ! un antidote est un programme léger développé pour éradiquer un seul virus (ou disons une famille) !
Programme généraliste : détection, protection en arrière plan et scan "batch"
Antidote : désinfection adaptée !
@12C4 ... In medio stat virtus ...
Ipl
Pour compléter le sujet :
- voici l'alerte de SecUser -> http://www.secuser.com/alertes/2003/bugbearb.htm
- voici l'antidote -> http://www.secuser.com/telechargement/index.htm#BugbearB
Je rappelle qu'un antivirus est destiné à protéger le système contre les milliers de virus ; il ne faut pas trop compter sur le programme antivirus pour éradiquer (s'il veut bien, OK mais...)... NAV propose facilement de mettre en quarantaine, ne vous laissez pas avoir, répondez non et passez l'antidote ! un antidote est un programme léger développé pour éradiquer un seul virus (ou disons une famille) !
Programme généraliste : détection, protection en arrière plan et scan "batch"
Antidote : désinfection adaptée !
@12C4 ... In medio stat virtus ...
Ipl
Heelo
Microsoft fourni cela :
http://support.microsoft.com/default.aspx?scid=kb;fr;f329770
Avant d'admettre l'absurde, on épuise toutes les solutions
------=>As Monaco - Toujours avec toi<=------
Microsoft fourni cela :
http://support.microsoft.com/default.aspx?scid=kb;fr;f329770
Avant d'admettre l'absurde, on épuise toutes les solutions
------=>As Monaco - Toujours avec toi<=------
sebsauvage
Messages postés
32847
Date d'inscription
mercredi 29 août 2001
Statut
Modérateur
Dernière intervention
21 octobre 2019
15 656
6 juin 2003 à 09:53
6 juin 2003 à 09:53
Et un autre outils pour supprimer cette saleté:
http://securityresponse.symantec.com/avcenter/venc/data/w32.bugbear.b@mm.removal.tool.html
http://securityresponse.symantec.com/avcenter/venc/data/w32.bugbear.b@mm.removal.tool.html
ipl
Messages postés
5723
Date d'inscription
lundi 8 octobre 2001
Statut
Contributeur sécurité
Dernière intervention
14 avril 2012
582
6 juin 2003 à 10:51
6 juin 2003 à 10:51
Bonjour à tous,
Information du jour_
Message Labs... voyez les "dégats d'hier" :
- BugBear.B #1
- SoBig.C #2
http://www.messagelabs.com/viruseye/threats/default.asp
Bonne journée... sans virus ! ;-)
@12C4 ... In medio stat virtus ...
Ipl
Information du jour_
Message Labs... voyez les "dégats d'hier" :
- BugBear.B #1
- SoBig.C #2
http://www.messagelabs.com/viruseye/threats/default.asp
Bonne journée... sans virus ! ;-)
@12C4 ... In medio stat virtus ...
Ipl
ipl
Messages postés
5723
Date d'inscription
lundi 8 octobre 2001
Statut
Contributeur sécurité
Dernière intervention
14 avril 2012
582
6 juin 2003 à 11:54
6 juin 2003 à 11:54
Rebonjour à tous,
Une autre URL vers un antidote de McAfee -> http://vil.nai.com/vil/stinger/ (multi virus)
---
Download Stinger.exe v1.7.1 [669,191 bytes] (6/5/2003)
This version of Stinger includes detection for all known variants of W32/Fizzer@MM, W32/Lovgate@M, BackDoor-AQJ, W32/SQLSlammer, W32/Lirva, W32/Yaha@MM, W32/Bugbear@MM, W32/Elkern, W32/Klez, W32/Nimda@MM, W32/Sircam@MM, and W32/Funlove@MM
---
@12C4 ... In medio stat virtus ...
Ipl
Une autre URL vers un antidote de McAfee -> http://vil.nai.com/vil/stinger/ (multi virus)
---
Download Stinger.exe v1.7.1 [669,191 bytes] (6/5/2003)
This version of Stinger includes detection for all known variants of W32/Fizzer@MM, W32/Lovgate@M, BackDoor-AQJ, W32/SQLSlammer, W32/Lirva, W32/Yaha@MM, W32/Bugbear@MM, W32/Elkern, W32/Klez, W32/Nimda@MM, W32/Sircam@MM, and W32/Funlove@MM
---
@12C4 ... In medio stat virtus ...
Ipl
Shaggy_2_Dope
Messages postés
376
Date d'inscription
mercredi 30 avril 2003
Statut
Membre
Dernière intervention
31 juillet 2008
6
6 juin 2003 à 11:58
6 juin 2003 à 11:58
Hello ici
je me permet de remonter le thread !
merci pour tout ipl je pense que ca servira pour ma fac ;-)
Shaggy_2_Dope
je me permet de remonter le thread !
merci pour tout ipl je pense que ca servira pour ma fac ;-)
Shaggy_2_Dope
ipl
Messages postés
5723
Date d'inscription
lundi 8 octobre 2001
Statut
Contributeur sécurité
Dernière intervention
14 avril 2012
582
6 juin 2003 à 17:40
6 juin 2003 à 17:40
Rebonjour à tous,
Je me rends compte que les 2 antidotes que j'ai indiqués
- bitdefender (Secuser)
- nai-McAfee
ne me donnent pas du tout satisfaction... à moins qu'ils n'aient été gênés par mon Sophos !
Je n'ai pas essayé l'antidote ionné par SebSauvage -> http://securityresponse.symantec.com/avcenter/venc/data/w32.bugbear.b@mm.removal.tool.html
Je continue à désinfecter à la main et tout marche bien !
Procédure :
- pour vérifier l'infection, en cas de doute, aller voir le dossier démarrage de all users ! fichier .EXE ? si oui, infection !
- scan http://www.secuser.com/antivirus/
et tentative d'éradication (ou de suppression si fichier temp)
- Lancer Windows Explorer
- aller voir le dossier Démarrage de All Users j'ai bien dit all users... le vache ! vous trouverez un .EXE ; essayer de supprimer (le système refusera) ou renommez en .abc et essayer de supprimer
- redémarez Windows ; vous aurez une fenêtre "Ouvrir avec.." (le fichier .abc ci-dessus)
- allez supprimer ce fichier .abc... si pas possible aller le supprimer en Dos !
- aller dans C:\WinNT\System32 pour W2K/XP ou dans C:\Windows\System et mettez de côté dans un répertoire d'attente, les 3 (2000) ou 2 (98) DLL de la date du jour (Une des DLL est infectée)
- Désinstaller WinZip et réinstaller
- Désinstaller Acrobat Reader et réinstaller
- profitez en pour nettoyer le disque de tous les fichiers inutiles (Temp, TIF, Historique, cookies, corbeille)
- scan http://www.secuser.com/antivirus/
@12C4 ... In medio stat virtus ...
Ipl
Je me rends compte que les 2 antidotes que j'ai indiqués
- bitdefender (Secuser)
- nai-McAfee
ne me donnent pas du tout satisfaction... à moins qu'ils n'aient été gênés par mon Sophos !
Je n'ai pas essayé l'antidote ionné par SebSauvage -> http://securityresponse.symantec.com/avcenter/venc/data/w32.bugbear.b@mm.removal.tool.html
Je continue à désinfecter à la main et tout marche bien !
Procédure :
- pour vérifier l'infection, en cas de doute, aller voir le dossier démarrage de all users ! fichier .EXE ? si oui, infection !
- scan http://www.secuser.com/antivirus/
et tentative d'éradication (ou de suppression si fichier temp)
- Lancer Windows Explorer
- aller voir le dossier Démarrage de All Users j'ai bien dit all users... le vache ! vous trouverez un .EXE ; essayer de supprimer (le système refusera) ou renommez en .abc et essayer de supprimer
- redémarez Windows ; vous aurez une fenêtre "Ouvrir avec.." (le fichier .abc ci-dessus)
- allez supprimer ce fichier .abc... si pas possible aller le supprimer en Dos !
- aller dans C:\WinNT\System32 pour W2K/XP ou dans C:\Windows\System et mettez de côté dans un répertoire d'attente, les 3 (2000) ou 2 (98) DLL de la date du jour (Une des DLL est infectée)
- Désinstaller WinZip et réinstaller
- Désinstaller Acrobat Reader et réinstaller
- profitez en pour nettoyer le disque de tous les fichiers inutiles (Temp, TIF, Historique, cookies, corbeille)
- scan http://www.secuser.com/antivirus/
@12C4 ... In medio stat virtus ...
Ipl
sebsauvage
Messages postés
32847
Date d'inscription
mercredi 29 août 2001
Statut
Modérateur
Dernière intervention
21 octobre 2019
15 656
6 juin 2003 à 17:48
6 juin 2003 à 17:48
Pour ceux qui ont McAfee: la mise à jour 4270 détecte ce virus.
http://www.mcafeeb2b.com/naicommon/download/dats/find.asp
Pour AntiVir, c'est la mise à jour 6.20.00.05:
http://www.free-av.de/updates/personal/vdf/antivir.vdf
Pour F-Prot, c'est le fp-def.zip daté "05 Jun 2003":
http://www.f-prot.com/cgi-bin/get_randomly?fp-def
http://www.mcafeeb2b.com/naicommon/download/dats/find.asp
Pour AntiVir, c'est la mise à jour 6.20.00.05:
http://www.free-av.de/updates/personal/vdf/antivir.vdf
Pour F-Prot, c'est le fp-def.zip daté "05 Jun 2003":
http://www.f-prot.com/cgi-bin/get_randomly?fp-def
Kuching
Messages postés
2697
Date d'inscription
jeudi 30 mai 2002
Statut
Contributeur
Dernière intervention
26 décembre 2007
158
7 juin 2003 à 09:08
7 juin 2003 à 09:08
Salut,
Pour Norton la mise à jour est celle du 6 (celle du premier juin ne détecte rien).
Je viens de le reçevoir ds un fichier My money.mny.scr.
A+ K.
Pour Norton la mise à jour est celle du 6 (celle du premier juin ne détecte rien).
Je viens de le reçevoir ds un fichier My money.mny.scr.
A+ K.
ipl
Messages postés
5723
Date d'inscription
lundi 8 octobre 2001
Statut
Contributeur sécurité
Dernière intervention
14 avril 2012
582
7 juin 2003 à 10:03
7 juin 2003 à 10:03
Bonjour Kuching, bonjour à tous,
>celle du premier juin ne détecte rien
Ce virus a été détecté le 4 juin aux US.
Ce n'est que le 5 que les éditeurs AV ont commencé à diffuser des maj permettant la détection !
... pour la réparation, il faudra repasser !
Les 2 antidotes que j'ai essayés (bitdefender du 6 et McAfee du 6) sont inopérants... peut-être se sont-ils améliorés depuis.
Comme ma procédure manuelle fonctionne bien, çà me va ! Il est vrai qu'un antidote efficace serait le bienvenu parce que, par téléphone, avec un(e) utilisateur(trice) léger(ère), c'est galère !!!
;-)
@12C4 ... In medio stat virtus ...
Ipl
>celle du premier juin ne détecte rien
Ce virus a été détecté le 4 juin aux US.
Ce n'est que le 5 que les éditeurs AV ont commencé à diffuser des maj permettant la détection !
... pour la réparation, il faudra repasser !
Les 2 antidotes que j'ai essayés (bitdefender du 6 et McAfee du 6) sont inopérants... peut-être se sont-ils améliorés depuis.
Comme ma procédure manuelle fonctionne bien, çà me va ! Il est vrai qu'un antidote efficace serait le bienvenu parce que, par téléphone, avec un(e) utilisateur(trice) léger(ère), c'est galère !!!
;-)
@12C4 ... In medio stat virtus ...
Ipl