*** ATTENTION *** Attaque de BUGBEAR.B Fermé

Question

Bonjour à tous,

Soyez vigilants !
Je ne peux pas m'étendre car j'ai des infections à traiter dans ma société !
Bugbear.B a été détecté hier aux US et c'est la grande infection aujourd'hui là-bas !
Google commence à connaître... les éditeurs d'anti virus cherchent 1/ à détecter 2/ à réparer !

VIGILANCE ! voir http://www.messagelabs.com/

@12C4 ... In medio stat virtus ...
Ipl

Afficher la suite

teebo · Answer

Moi j'ai toute une liste de diffusion de mes copains infectes par klez, et apparement il y en a pas mal qui ne sont aps protege alors regulierement je recoit des messages zarbi de ce groupe la...

. .
\_/

Utilisateur anonyme · Answer

Merci à toi... je m'attends à avoir quel coup de fil :)

ouinnnnn plein de boulot :'(

Avant d'admettre l'absurde, on épuise toutes les solutions
------=>As Monaco - Toujours avec toi<=------

choubaka · Answer

tidjuuuuu !ChoubaCasque Bleu forumique

Castor · Answer

merci IPL je surveille :D.O  Sauvez Mary, mangez Chouba:-D(_)__... Castor

ipl · Answer

Re,

La grande majorité des AV ne connaissent pas (et ne détectent rien).

- scan http://www.secuser.com/antivirus/
et tentative d'éradication (ou de suppression si fichier temp)
- Lancer Windows Explorer
- aller voir le dossier Démarrage de All Users j'ai bien dit all users... le vache ! vous trouverez un .EXE ; essayer de supprimer (le système refusera) ou renommez en .abc
- redémarez Windows ; vous aurez une fenêtre "Ouvrir avec.." (le fichier .abc ci-dessus)
- allez supprimer ce fichier .abc
- profitez en pour nettoyer le disque de tous les fichiers inutiles (Temp, TIF, Historique, cookies, corbeille)
- scan http://www.secuser.com/antivirus/

C'est bon !
Surveillez l'antidote à venir pour repasser un coup !

@12C4 ... In medio stat virtus ...
Ipl

sebsauvage · Answer

Merci pour l'info, et pour la méthode de nettoyage !

ipl · Answer

Re,

Quelques infos supplémentaires !

- Trend online détecte mais ne corrige rien
- en plus du fichier .exe dans le dossier Démarrage de all users (au fait... y compris dans Ws9x-ME) :
--- 3 fichiers .dll créés le jour de l'infection dans C:\WinNT\System32 (j'ai W2K)... n'est-ce pas bizarre çà ! 3, pas 4 : 3 !
--- les noms sont bien sûrs, divers : ozzkrdh.dll fsstsx.dll, zggmpkc.dll, goomlvq.dll (infecté), spptic.dll, zrrkcnq.dll... notez les doubles lettres en position 2 et 3 ! ces fichiers n'existent pas dans d'autres systèmes sains !

C'est bon, je n'ai pas beaucoup d'idiots qui ont ouvert les fichiers ! ;-)
Je n'ai pas parlé du mode de contamination... mais c'est le style Bugbear.A...

@12C4 ... In medio stat virtus ...
Ipl

ipl · Answer

Rebonjour à tous,

Bien sûr, les choses décrites ci-dessus sont les cas simples d'infection toute récente !
En cas d'utilisation de l'ordi, il y a :
- infection des .exe (Winzip, Acroread),
- envoi à des correspondants du carnet d'adresse (Outlook ???) avec spoofing !

Cà c'était dans mon groupe !
Heureusement chez moi, nous avons un deal avec la société Sophos et sur notre demande aujourd'hui, ils ont immédiatement analysé le cas et mis à jour tout de suite pour une détection... ouf, c'est mieux qu'en aveugle !

Maintenant, dans les cas généraux, je vous laisse voir la doc Bugbear.A...

@12C4 ... In medio stat virtus ...
Ipl

Serge · Answer

merci pour tout ipl !Serge Emplacement à louer !

ipl · Answer

Rebonsoir,

Excusez moi de ne pas trop participer cet aprèm mais c'est l'aventure ici ! zut... Teebo va me dépasser ! LOL
Pas eu le temps d'aller au café non plus ;-)

Demain, j'espère avoir un antidote de la société Sophos (pour le moment, leur première version prend 2 heures par ordinateur !!!).
Si les autres éditeurs n'ont rien sorti de mieux demain, je tiendrai le fix à votre disposition !

@12C4 ... In medio stat virtus ...
Ipl

ipl · Answer

Hi all!

Wow... du piment aujourd'hui ! very exciting!

J'ai fait la campagne Nimda... ma plus belle aventure ! ma plus impressionnante !
J'ai eu quelques cas Bugbear...
et là, quelques cas BugBear.B !

@12C4 ... In medio stat virtus ...
Ipl

ipl · Answer

Bonsoir à tous,

Pour compléter le sujet :
- voici l'alerte de SecUser -> http://www.secuser.com/alertes/2003/bugbearb.htm
- voici l'antidote -> http://www.secuser.com/telechargement/index.htm#BugbearB

Je rappelle qu'un antivirus est destiné à protéger le système contre les milliers de virus ; il ne faut pas trop compter sur le programme antivirus pour éradiquer (s'il veut bien, OK mais...)... NAV propose facilement de mettre en quarantaine, ne vous laissez pas avoir, répondez non et passez l'antidote ! un antidote est un programme léger développé pour éradiquer un seul virus (ou disons une famille) !

Programme généraliste : détection, protection en arrière plan et scan "batch"
Antidote : désinfection adaptée !

@12C4 ... In medio stat virtus ...
Ipl

Utilisateur anonyme · Answer

Heelo

Microsoft fourni cela :

http://support.microsoft.com/default.aspx?scid=kb;fr;f329770

Avant d'admettre l'absurde, on épuise toutes les solutions
------=>As Monaco - Toujours avec toi<=------

sebsauvage · Answer

Et un autre outils pour supprimer cette saleté:http://securityresponse.symantec.com/avcenter/venc/data/w32.bugbear.b@mm.removal.tool.html

ipl · Answer

Bonjour à tous,

Information du jour_

Message Labs... voyez les "dégats d'hier" :
- BugBear.B #1
- SoBig.C #2
http://www.messagelabs.com/viruseye/threats/default.asp

Bonne journée... sans virus ! ;-)

@12C4 ... In medio stat virtus ...
Ipl

ipl · Answer

Rebonjour à tous,

Une autre URL vers un antidote de McAfee -> http://vil.nai.com/vil/stinger/ (multi virus)
---
Download Stinger.exe v1.7.1 [669,191 bytes] (6/5/2003)
This version of Stinger includes detection for all known variants of W32/Fizzer@MM, W32/Lovgate@M, BackDoor-AQJ, W32/SQLSlammer, W32/Lirva, W32/Yaha@MM, W32/Bugbear@MM, W32/Elkern, W32/Klez, W32/Nimda@MM, W32/Sircam@MM, and W32/Funlove@MM
---

@12C4 ... In medio stat virtus ...
Ipl

ipl · Answer

Rebonjour à tous,

Je me rends compte que les 2 antidotes que j'ai indiqués
- bitdefender (Secuser)
- nai-McAfee
ne me donnent pas du tout satisfaction... à moins qu'ils n'aient été gênés par mon Sophos !
Je n'ai pas essayé l'antidote ionné par SebSauvage -> http://securityresponse.symantec.com/avcenter/venc/data/w32.bugbear.b@mm.removal.tool.html

Je continue à désinfecter à la main et tout marche bien !

Procédure :
- pour vérifier l'infection, en cas de doute, aller voir le dossier démarrage de all users ! fichier .EXE ? si oui, infection !
- scan http://www.secuser.com/antivirus/
et tentative d'éradication (ou de suppression si fichier temp)
- Lancer Windows Explorer
- aller voir le dossier Démarrage de All Users j'ai bien dit all users... le vache ! vous trouverez un .EXE ; essayer de supprimer (le système refusera) ou renommez en .abc et essayer de supprimer
- redémarez Windows ; vous aurez une fenêtre "Ouvrir avec.." (le fichier .abc ci-dessus)
- allez supprimer ce fichier .abc... si pas possible aller le supprimer en Dos !
- aller dans C:\WinNT\System32 pour W2K/XP ou dans C:\Windows\System et mettez de côté dans un répertoire d'attente, les 3 (2000) ou 2 (98) DLL de la date du jour (Une des DLL est infectée)
- Désinstaller WinZip et réinstaller
- Désinstaller Acrobat Reader et réinstaller
- profitez en pour nettoyer le disque de tous les fichiers inutiles (Temp, TIF, Historique, cookies, corbeille)
- scan http://www.secuser.com/antivirus/

@12C4 ... In medio stat virtus ...
Ipl

sebsauvage · Answer

Pour ceux qui ont McAfee: la mise à jour 4270 détecte ce virus.http://www.mcafeeb2b.com/naicommon/download/dats/find.aspPour AntiVir, c'est la mise à jour 6.20.00.05:http://www.free-av.de/updates/personal/vdf/antivir.vdfPour F-Prot, c'est le fp-def.zip daté "05 Jun 2003":http://www.f-prot.com/cgi-bin/get_randomly?fp-def

Kuching · Answer

Salut,Pour Norton la mise à jour est celle du 6 (celle du premier juin ne détecte rien).Je viens de le reçevoir ds un fichier My money.mny.scr.A+  K.

ipl · Answer

Bonjour Kuching, bonjour à tous,

>celle du premier juin ne détecte rien
Ce virus a été détecté le 4 juin aux US.
Ce n'est que le 5 que les éditeurs AV ont commencé à diffuser des maj permettant la détection !
... pour la réparation, il faudra repasser !

Les 2 antidotes que j'ai essayés (bitdefender du 6 et McAfee du 6) sont inopérants... peut-être se sont-ils améliorés depuis.
Comme ma procédure manuelle fonctionne bien, çà me va ! Il est vrai qu'un antidote efficace serait le bienvenu parce que, par téléphone, avec un(e) utilisateur(trice) léger(ère), c'est galère !!!
;-)

@12C4 ... In medio stat virtus ...
Ipl

M&M · Answer

Seb, j'ai reçu hier le virus venant d’ami proche mais : un fichier attaché en exe de 72 KB que je n'ai pas ouvert. JE pensais avoir lu que le virus était déjà détecté avec la version 6.20.0.4 c'et vexant, c'est pourtant avec celle là que j'ai éradiqué son infect bear. J'ai fait le tour pour aider les amis à mettre la 4 et tu me laisses à penser que la 4 était insuffisante.  J'ai vu effectivement qu'il n'y a eu que quelques heures entre la 00.4 et la 00.5 Seb, tu disais le 7 janvier 03 sur http://www.commentcamarche.com/forum/affich.php3?cat=1&ID=194736&page=1 que tu faisais la mise à jour manuellement.  Moi, j'ai essayé d'automatiser car le mise à jour en ligne automatique n'est pas active dans la version gratuite (contredisez-moi si ce n'est pas le cas).  Si quelqu'un maîtrise meix l'allemand que moi, c'est confirmé sur le forum d'antivir sur http://www.free-av.de/cgi-bin/ubb/ultimatebb.cgi?ubb=get_topic&f=5&t=001857 et confirmé en anglais sur http://www.free-av.de/cgi-bin/ubb/ultimatebb.cgi?ubb=get_topic&f=2&t=000515Reste que je veux trouver  une façon d'avoir Antivir  qui se met à jour automatiquement sans devoir cliquer 8 fois.  J'en, ai déjà parlé à trois reprise comme par exemple le 14 mars 2003 à 18h41 en bas de page du http://www.commentcamarche.com/forum/affich.php3?cat=1&ID=234297&page=1Alors Seb, alors ipl ?Existe t'il un produit capable de lancer des "yes, no, cr, space, tab ou right clic et Alt-F4 ou même des clic de souris positionné en x,y sur la fenêtre qui s'ouvrira", le tout cadencé comme un storyboard avec des branchements conditionnel.  Un tel outil doit bien exister puisqu'il permettrait d'automatiser des test logiciels par exemple ! :,§_ ç _(@)=(@)

ipl · Answer

Bonjour M&M,Je suis désolé ! je ne sais pas répondre à ta question... d'autant que j'ai des larmes dans les yeux après la victoire de Justine !@12C4 ... In medio stat virtus ...Ipl

M&M · Answer

Oui, je suis très heureux pour elle, un petit bout de femme qui ne paye pas de mine: 1m68 et 57kg, pas de belles dents, banal en somme: n'importe quelle gamine qui s'inscrit dans un club peut rêver un jour l'égaler. preuve est faite qu'il ne faut plus avoir une morphologie de lanceuse du poids soviétique !J'ai beaucoup apprécié l'explosion de joie de son coach et de son mari, qui se rendaient sans doute encore mieux qu'elle de ce qu'elle venait de réussir sur une bête balle qui nous laisse un goût de trop peu... Justine, j'aimerais un jour la voir exploser de joie aussi et crier: je l'ai pilée, je l'ai eue jusqu'au trognon,  elles peuvent toutes crever, je suis la meilleure !  Au lieu de cela, elle dit paisiblement : "Ce matin je sentais Justine au mieux de sa forme..." (elle parle souvent d'elle comme d'une autre, un pas en retrait derrière elle comme si elle se voyait à travers des yeux de son psychiatre,  une trace de schizophrénie peut-être)  Mais on lui pardonne cette timidité, alors même qu'on apprend à nos enfants à cesser d'user du JE jusqu'à la corde.  Justine: tu joues bien, avec brio, en un 1/10 de secondes tu décides de l'angle dee tes balles, tu nous ravis, tu nous surprends !  J'ai eu beaucoup de plaisir à t'encourager et à souffrir avec toi !Mais Kim, je n'ai jamais su la blairer, (ce doit être familial, c'est  dans les gênes, une lointaine ressemblance avec qqn que je connais), avec son cul relevé en attendant qu'on le lui botte, vous ne voudriez pas la prendre en stage un mois ou deux chez un grand couturier de Paris, chez la comtesse de Paris ou chez Mme de Fontenay pour lui apprendre les bonnes manières ? Je me demande si cette position est strictement requise pour prendre ses accélérations... A part cela, elle sait taper fort aussi, n'étant pas seconde à l'ATP pour rien. En fait, le grand exploit, c'était Justine/Serena bien sûr ! Seb, une réponse stp ? :,§_ ç _(@)=(@)

ipl · Answer

Bonjour à tous,Je répète : mettez à jour vos tables de définition de virus !NAV avait une mise à jour hier, encore une aujourd'hui !  les choses évoluent vite et ce serait vraiment rageant de passer à côté de la protection efficace lorsqu'il y a des virus méchants qui traînent !@12C4 ... In medio stat virtus ...Ipl

ipl · Answer

BugBear.B est passé de medium risk à High risk !Je rappelle que BugBear a été détecté pour la première fois mercredi 4 juin aux Etats-Unis...  les antivirus classiques n'ont pas été capables de le détecter (bien que son som indique une variante d'un virus fameux !)Il a été détecté sur mon site (Paris) jeudi matin envoyé dans un email professionnel (le fournisseur Français en question étant complètement infecté).BugBear.B est passé au travers des très bonnes protections Norton de la filiale Américaine de mon groupe...BugBear.B est passé au travers des très bonnes protections Sophos de la filiale Anglaise de mon groupe...Sophos a été capable de détecter Jeudi après midi.Norton a été capable de détecter et stopper vendredi matin !Les US sont grandement infectés, le Royaume Uni encore plus !@12C4 ... In medio stat virtus ...Ipl

M&M · Answer

Pour ton information ipl, le message infecté que j'ai reçu (72KB avait deux extensions en cascade jpg.exe je crois et était en français !!!Or, il est connu que Antivir ne fouille pas ou mal les fichiers avec double extension sauf si on l'a configuré pour fouiller tous les fichiers (Files, All files !) et pas seulement ceux intitulés Programs and Macro files (suivi d'un bouton pour copnfigurer la liste limitative d'extensions).Donc, modifiez en ce sens Antivir pour s'écarter de la configuration standard par défaut qui est trop laxiste. :,§_ ç _(@)=(@)

ipl · Answer

Merci M&M,Il en est de même pour les antivirus que je maîtrise :- McAfee ViruScan- Symantec Norton AntiVirus- SophosPour les 3, il est nécessaire de revenir sur les options standards d'examen des seuls fichiers Exécutables !@12C4 ... In medio stat virtus ...Ipl

Utilisateur anonyme · Answer

C'était juste pour refermer la balise "gras"... ;-))A++  et merci Ipl et les autres pour les infos ! :))____________________..:: Thomas ::..

sebsauvage · Answer

Pour M&M:La mise à jour auto des antivirus, j'en suis revenu.Désormais je préfère le bricoler mes propres outils.Pour Antivir, il y a un seul fichier à télécharger pour la mise à jour.(antivir.vdf).

M&M · Answer

Merci sebsauvage, oui tu l'as déjà écrit. Mais antivir demande parfois aussi de ré&installer le moteur de recherche.  L'installation complète demande plein de clics.Aurais-tu  un petit bout de programme qui une ou deux fois par jour teste la date du fichier VDF sur leur site de mise à jour  par rapport à celui qui est actif dans le PC et ne le télécharge que si c'est nécessaire ? UN petit truc en perl ou autre que j'ai toujours eu envie d'écrire sans jamais trouver le temps. Peut-être est-ce possible avec Logmon (http://logmon.bitrix.ru/logmon/eng/) ou Webmon (http://sebsauvage.net/logiciels/webmon.html )  :,§_ ç _(@)=(@)

ipl · Answer

Bonsoir à tous,Chic :-( demain, je retourne au boulot !Avec les 15.000 salariés de mon groupe, avec un peu de chance, je vais retrouver encore quelques systèmes infectés demain !;-)@12C4 ... In medio stat virtus ...Ipl

sebsauvage · Answer

M&M:Je télécharge à la main le VDF, mais j'avais bricolé un truc de ce genre pour Kaperksy (http://sebsauvage.net/python/kupdate101.py).Je n'ai jamais pris le temps de refaire ça pour AntiVir.Ceci dit, c'est vrai que la mise à jour du moteur lui-même est plus longue et plus difficile à automatiser.Je me demande si il n'y aurait pas une option 'unattended installation' dans l'installeur d'AntiVir, mais bon ça m'étonnerais (c'est le genre de fonctionnalité utilisé qu'en entreprise, et comme c'est une version personnelle...)

ipl · Answer

Bonjour à tous,Informations complémentaires à ajouter à la procédure :- le fichier .exe qui est dans le dossier Démarrage de "all users" a une taille caractéristique de 72.192 octets- les dll de System (Ws9x) / System32 (2000) n'ont pas systématiquement un nom comportant une consonne doublée en 2ème et 3ème position !- au fur et à mesure de l'avancement de l'infection (le fichier .exe de all users porte la date de l'infection), les dégats se multiplient et la suite est :--- infection de Acrord32.exe (Acrobat Reader) dans Program Files\...--- infection de Winzip32.exe (WinZip) dans Program Files\...--- MS-Word@12C4 ... In medio stat virtus ...Ipl

gayette · Answer

Bonsoir à tous,J'ai reçu le virus par Outlook. Comme il s'agissait d'une personne inconnue de la famille qui m'envoyait un fichier attaché(zip.250lnk.exe 72.3ko) et ayant lu vos nombreux conseils, je n'ai rien ouvert. J'ai contacté le professeur (à l'Université de Liège) , qui m'a répondu que son adresse a été utilisée depuis l'Italie pour"attaquer"   l'Université.Les anti-virus Norton et Secuser n'ont rien détectés.Si je supprime simplement le message, est-ce suffisant?Merci de vos réponses.

M&M · Answer

Oui, et vide aussi la corbeille. Et tant qu'à faire, purge un coup ta cache memory, efface les cookies, lance la mise à jour de Spybot et laisse le tourner... Tu te sentiras plus léger ! :,§_ ç _(@)=(@)

ipl · Answer

Bonjour à tous,BugBear ne se calme pas !Voici quelques nouvelles de Silicon.fr :-Virus Bugbear: le FBI enquête (11 juin) : il viserait tout spécialement les institutions financières... -> http://www.silicon.fr/click.asp?id=1468- Alerte au 'Ver': Bugbear.B est très virulent  (5 juin) -> http://www.silicon.fr/getarticle.asp?ID=1414Last 24 hours :--- BugBear.B #1--- Klez.H #2--- SoBig.A #3( http://www.messagelabs.com/viruseye/threats/default.asp )Classement Général :--- Klez.H #1--- Yaha.E #2--- SirCam.A #3( http://www.messagelabs.com/viruseye/threats/default.asp?toptenduration=all )@12C4 ... In medio stat virtus ...Ipl

bejaïa · Answer

Bonsoir,J'ai sans doute contracté un virusSur Word lorsque je tape  : j'obtiens °:Symantec W32.Bugbear.B@mm Fix Tools 1.0.0 n'a rien détecté.Dans le dossier Démarrage de All Users il n ' y a rienWhat this ?

Utilisateur anonyme · Answer

Salut Bejaïa !C'est peut-être un autre virus. Essaye de faire un scan anti-virus en ligne sur http://www.secuser.com/antivirus/A++ et bon courage ! :))Merci à tous pour les infos :))____________________..:: Thomas ::..

bejaïa · Answer

J'ai aussi le problème avec le point virgule et le point d'exclamation j'obtiens °; et °!J'ai scanné avec Norton Antivirus 2003 qui n'a rien trouvéPourquoi  http://www.secuser.com/antivirus/  serait meilleur que Norton Antivirus 2003 ?

Utilisateur anonyme · Answer

Re-salut Bedjaïa !> Pourquoi http://www.secuser.com/antivirus/ serait meilleur que Norton Antivirus 2003 ?>>> Parce qu'il est plus à jour :- Norton est un anti-virus "résident". C.-à-d. que c'est un prog installé sur ton ordi qui surveille ce qui se passe. Il es peut-être très efficace, d'accord, mais il faut le mettre très souvent à jour à cause des nouveaux virus. Donc, il faut qu'il soit parafitement à jour.- secuser.com est un anti-virus "en lign". C.-à-d. que l'analyse s'effectue à partir d'un serveur distant. Il n'y a pas de prog installé sur ta machine.L'avantage, c'est que secuser.com est à jour. Donc, à chaque fois que tu passes un scan, tu à la version la plus récente.Bien-sûr, un scan en ligne ne dispense pas d'un anti-virus résident ;-)A++ :))____________________..:: Thomas ::..

bejaïa · Answer

http://www.secuser.com/antivirus/  n'a rien trouvé.Norton Antivirus 2003 avec dernière mise à jour n'a rien trouvé.Et j'ai toujours ce problème dans Word le point-virgule, le point d'exclamation et les 2 points renvoient °;°:°!Alors y a t-il un Kadhor pour me dire quel est ce binsss ?

ipl · Answer

Bonjour bejaä, bonjour à tous,Excuse moi si j'ai raté des posts et si la chose a déjà été essayée : es-tu allé regarder dans la correction automatique ? il est facile d'y enregistrer quelque chose d'erroné !@12C4 ... In medio stat virtus ...Ipl

ipl · Answer

Rebonjour bejaïa,J'espère ne pas dire de sottises...>°;   °:   °! Est-ce que les ° ne sont pas simplement l'affichega des espaces insécables ?Les as-tu aussi à l'impression ?@12C4 ... In medio stat virtus ...Ipl

Utilisateur anonyme · Answer

ou simplement en virant l'affichage des caractères non imprimables (l'espèce de gros P gras à l'envers sur la bardouti)kinder.surprise,le maton du matou

Utilisateur anonyme · Answer

je voulais faire une blague avec la bardouti mais je me suis retenu! (-:kinder.surprise,le maton du matou

bejaïa · Answer

Bravo iplJe suis allé dans " Outils " " Options " puis onglet AffichageDans " Marques de format " l'option " Toutes  " était cochée.Après l'avoir dévalidée, tout est OKMerci à tous

John NC · Answer

En effet, les ° représentent les espaces insécables. Pour en faire (par exemple un Prenom Nom à la fin d'une ligne qu'on voudrait garder ensemble), il suffit de faire CTRL + espace.Voila, pour d'autres infos, johnncsite@yahoo.fr.A+ :) John NC

* ATTENTION * Attaque de BUGBEAR.B

47 réponses

Discussions similaires

Newsletters