Virus bd_bugbear--->j'en peux plus !

clay -  
 stephane -
Salut

Depuis quelques jours, mon firewall (Norton Internet Security 2004) me précise des alertes de ce type :

Détails : Tentative d'intrusion "BD_BUGBEAR" de votre ordinateur contre 82.64.149.205 détectée et bloquée
Intrus : localhost(3133)
Niveau de risque : Elevé
Protocole : TCP
IP attaquée : 82.64.149.205
Attacked Port : socks(1080)


De toute évidence, j'ai choppé le ver BUGBEAR.
Je précise : Mon antivirus Norton 2004 et mon firewall Norton 2004 sont tous les 2 à jours.
Bien que le firewall détecte le ver, l'antivirus ne le voit pas.

J'ai tout essayé :
- les FixBug de Symantec pour les vers bugbear.A et bugbear.B. Mais la encore, le ver n'est pas détecté.
- J'ai fait une recherche sur ce forum et on a déjà conseillé à certaines personnes une visite sur trendmicro.com. La encore, mon ver passe au travers

J'ai vu sur d'autres forums que beaucoup de personnes ont ce problème. Il s'agit surement d'une nouvelle dérivé du ver.
Si certains d'entre vous ont résolu ce problème ou ont des idées pour y remédier, je suis preneur. Parce que la, .

Merci d'avance

PS : si je peux éviter un format c:, ça serait cool.

32 réponses

  • 1
  • 2
Résumé de la discussion

Des alertes d'intrusion signalent la présence du ver Bugbear ciblant le port SOCKS 1080 et utilisant localhost comme source, ce qui déclenche le niveau de risque élevé sur Norton Internet Security 2004. L'utilisateur constate que l'antivirus ne le détecte pas malgré les mises à jour, et cherche des solutions comme FixBug, des analyses en ligne et des outils tels que Kill Box. Parmi les réponses, certains préconisent des scans en ligne, le démarrage en mode sans échec et la suppression de fichiers infectés comme autoclk.exe dans les répertoires système. D'autres évoquent des causes liées à des réseaux locaux ou à des services comme Samba qui exposent des ports, suggérant que Bugbear pourrait se propager via des services réseau ouverts.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. hug
     
    TU N'AS PAS le virus...je pense
    c'est juste qu'il a essayé de venir sur ton ordinateur...mais il a été arreter.
    0
  2. clay
     
    Ben moi je crois plutot que c'est le ver qui essaye d'attaquer un autre PC en passant par moi, moi qui ai le ver :

    Détails : Tentative d'intrusion "BD_BUGBEAR" de votre ordinateur contre 82.64.149.205 détectée et bloquée
    Intrus : localhost(3133)
    Niveau de risque : Elevé
    Protocole : TCP
    IP attaquée : 82.64.149.205
    Attacked Port : socks(1080)


    Pour preuve, 82.64.149.205 (IP attaquée qui n'est pas mon IP).
    Et l'intru se situe bien sur localhost, autrement dit, chez moi.
    Et aussi le message : Tentative d'intrusion "BD_BUGBEAR" de votre ordinateur contre 82.64.149.205

    En gros, c'est moi qui ai le ver et mon firewall empeche celui-ci d'attaquer l'IP 82.64.149.205.

    Vala...
    Siouplé Je suis quand même pas le seul a avoir choppé ce basard !
    0
  3. naza
     
    moi aussi la misiere grav truck de fou il est super coriace ce truck
    moi il me ren fou imposible de lefface de mon DD imposible de le trouve qui c quoi faire
    pour moi norton declanche une alert toutre les minute
    et defoi le pc c plante .............................
    0
  4. sat'elite
     
    idem.mais quand j'etais reellement inffecte l'utilisation de mon uc ne bougeait quasi pas des 100% ou etait completement instable parfois;faits je pense dus au ver.quand je fermait les processus host , ils redemarient instantanement parfois sous des non differents.la tout semble normal.j'ai donc coche la case qui permait de ne plus affiche les prochaine tentatives d' intrusions de la "personne".peut etre que je me trompe et que je suis egalement inffecte
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut
    alors action numero 1
    telecharger ce fichier :
    ftp://www.renonce.com/pub/renonce/RimouveXPFr.exe

    Action numero 2 :o)
    Demarrer en mode sans echec :
    tapotter sur la touche F8 sans arret desque tu allume ton PC

    Appliquer le fichier dans le mode sans echec
    le PC redemarre a la fin si c'est pas le cas tu fais un reboot tu ne touche plus a F8 et le PC reviendra tout seul en mode normal

    Action numero 3
    copier ici le contenu du fichier resulata.txt qui se trouve dans le dossier tmp que le fichier rimouveur.exe vas creer ...
    0
  7. rataf
     
    J'avais la m chose avec des messages toutes les 5 minutes. Comme beaucoup de gens parlaient d'emule, sur les forums consacrés au probleme , j'ai désinstallé la version que j'avais mis l'apres midi (emule0.42e Mfck). Les messages se sont instantanement arretés.... Je n'en sais pas plus ??????????
    Bonne journée : )
    0
  8. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut
    de toute facon p2p=probleme
    0
    1. sat'elite
       
      p2p=probleme ok.mais trop d'avantages!
      0
  9. stephane
     
    Bonjour à tous
    Cela faisait quelques jours que BD_BUGBEAR avait cessé de m'importuner mais aujourdh'ui, il est revenu, mais y a t-il quelqu'un qui aurait une vrai réponse.Je suis de plus en plsu dessespéré. Une chose est sure c'est en relation avec la mule et si vous allez sur des moteur de recherche étranger, il en parle aussi, c'est donc un problème au niveau mondial et symantec.com n'en a jamais entendu parlé... Bizare
    Cela fait une semaine que je cherche sur tout le web une solution et je n'en ai pas trouvé. Quelqu'un pourrait-il me dire éventuellement les réels risque d'un truc du genre. Le fait que Norton l'ai bloqué me garantit-t-il ma sécurité? dans le sens, l'attaque a-t-elle vraiment échoué ou y'en a un qui peut vraiment faire ce qu'il veut de mon ordo?
    Merci d'avance pour les réponses.
    0
    1. rikou25
       
      c'est 1 galere 1 vrai - comme dans la vie il existe sur le net des tordus - fais 1 rcherche sur copernic et tu auras certainement des reponses.
      a+
      0
    2. momol
       
      quant j'te lis on à l'impression que tu disjoncte man - t'inquiete c'est pas le + virulent sur p2p.
      connais tu blonderio - nouvelle merde du net - ton ordi tu peux meme + le rallumer - desastre assuré - 1 misere en soi.

      kool man
      momol01
      0
  10. B@B@R
     
    Perso, je semble être aussi infecté par celui ci,
    genre kan je reçoit des attaques,c est en provenance de mon propre IP, et c surtt kan je suis sur emule.

    Mais juste avant je viens d avoir droit a une variante,je suis en réseau local derrière un routeur, malgré mon pare feu, apparemment je l ai kan mm choppé, (Internet Security), si ces gens là n en avaient jms entendu parlé de ce virus, le logiciel ne le reconnaitrait pas. Pour en revenir a mon blèmre, je faisait du FTP, le serveur du côté du PC infecté, et le PC client est aussi muni d un pare feu, losrque soudain, il arrête une tentative d attak depuis mon poste serveur. louche kan mm, moi ki pensait que ce n était pas un virus, mais plutôt un bug, ou une tentative d intrusion échouée !!!

    Je viens de rebooter ma machine serveur, et qu est ce qui apparaît, un nouveau message me disant que mon Norton viens d arrêter une tentative d intrusion par un cheval de troie nommé RASmin.

    Jusk là c est bizarre, mais le pire, c est que ça proviens de nouveau de mon propre ordinateur.........
    Est ce donc lié???
    Si je trouve une réponse je vous en tiendrait informé, mais j avoue être perplexe, surtt ke tout les scan que j ai fe, n ont rien detecté. Ni les scans on line.
    comme celui de Pandasoftware ou ceux de Sygate ki testent en plus les ports éventuellement contaminés pas un troyen ainsi que d autres paramètre de sécurité...
    0
  11. troudball
     
    Rebonjour à tous,
    je sui l'auteur du message ci-dessus : "Cela faisait quelques jours que BD_BUGBEAR avait cessé de m'importuner ..."
    Juste pour vous dire que personellement j'ai abdiqué, formaté, et réinstalé... ET maintenant je suis tranquille(heuresement...ouf).
    Néanmoins, je reviendrais régulièrement sur ce forum parce que vraiment, je voudrais bien connaitre le pourquoi du comment, on est un tas de personne (et comme je l'avais déjà écrit : au niveau international) à avoir eu ces attaques sans rien pouvoir faire ni sans débarraser et c'est quand meme dingue!!!
    Pour informations : moi aussi je suis en réseau local (si çà peut faire avancer le schmilblick...) et puis il faut le dire (mais dites le si ce n'est pas le cas) : Cà vient du P2P, EMULE, mais d'ou exactement...???
    A+
    0
  12. martial
     
    Bonjour clay,

    Imprime ca et pete un coup!

    Sécurité
    Le virus BugBear espionne discrètement les PC
    L'alerte semble désormais plutôt sérieuse et justifie que l'on télécharge rapidement la dernière mise à jour de son antivirus. BugBear est non destructif, mais il est admirablement équipé pour l'espionnage. (Vendredi 4 octobre 2002)

    A lire également
    Virus, vers, chevaux de Troie... L'actualité de la menace

    Revue des failles du 17 septembre au 1er octobre

    Alerte Jaune chez Trend Micro, alerte de niveau 4 sur 5 chez Symantec, BugBear fait beaucoup couler d'encre depuis son apparition - le 30 Septembre 2002. Pourtant, le virus le plus marquant de ce trimestre n'est pas destructif : il se contente d'ouvrir une large porte aux pirates sur le contenu des machines qu'il infecte. Pourtant, d'aucuns considèrent que ce danger est aussi préjudiciable que celui d'une destruction de données pour une enteprise. BugBear mérite donc qu'on se méfie de lui, d'autant que sa vitesse de propagation est assez élevée : plusieurs dizaines de milliers de machines ont déjà été pénétrées par le virus depuis cinq jours.

    Un virus couplé à une faille
    A qui la faute ? Une fois n'est pas coûtume, les internautes dépourvus d'antivirus - ainsi que ceux qui ne prennent pas la peine de mettre à jour leurs définitions virales - ne sont pas les seuls visés. Le virus d'origine Malaysienne exploite en effet une ancienne faille d'Internet Explorer - disparue depuis la version 6 - qui permet à un code malicieux de se glisser sur un ordinateur par le truchement d'un mail reçu sous Outlook, et même si la machine est équipée d'un antivirus - sous certaines conditions.

    Ce qui fait dire au Directeur des Laboratoires Européens de recherche de Trend Micro - Marc Blanchard - que "les antivirus ne suffisent plus à protéger une machine. A l'avenir, les virus vont s'appuyer de plus en plus sur des failles applicatives pour pénétrer les systèmes d'entreprise. En complément d'un antivirus, je conseille vivement de patcher les applicatifs des machines à protéger très rigoureusement".

    Pénétrer n'est pas infecter
    Heureusement, si BugBear peut entrer sur certaines machines sans se faire repérer, il ne peut pas pour autant s'exécuter tout aussi facilement : "Tous les antivirus mis à jour seront capables de bloquer BugBear au moment où il se lancera. Mais seuls les antivirus configurés pour scanner régulièrement la mémoire vive de la machine pourront empêcher le virus de rentrer sur l'ordinateur". Parmi les dizaines de milliers de répliques de BugBear qui courent dans la nature, l'immense majorité n'a donc fait que pénétrer sur un ordinateur sans l'infecter réellement.

    Restent encore les milliers de machines dont les définitions virales ne sont pas à jour, ainsi que celles qui sont tout simplement dépourvues d'antivirus. C'est gràce à ces postes que BugBear se propage : le virus se glisse dans Outlook sous la forme d'un fichier joint qui ne possède aucun signe distinctif : son nom et son extension sont générés aléatoirement. Quant au corps du texte, il est inspiré de la correspondance personnelle du propriétaire de la machine infectée.

    Espionnage feutré
    Une fois exécuté, BugBear ouvre une backdoor sur le Web et envoie des informations sur la machine à une adresse prédéfinie, ce qui permet au créateur du virus d'accéder à tous les fichiers contenus sur la machine, ainsi qu'aux dernières commandes saisies au clavier - un code de carte bleue par exemple. BugBear est également capable de désactiver la protection de certains antivirus et firewalls afin de faciliter la tache du pirate. Le tout dans la plus grande discrétion. Une perspective qui fait froid dans le dos.

    Cependant, à en croire Marc Blanchard, l'intention du créateur du Virus n'est sans doute pas de pratiquer l'espionnage industriel : "les virus espions n'y vont pas par quatre chemins, ils envoient directement une sélection de fichiers sensibles au pirate. A mon avis - et en l'état actuel de nos connaissances - BugBear serait plutôt le produit d'un hacker qui cherche à établir un record d'intrusions sur les réseaux des grandes entreprises qu'un espion. Les pirates aiment beaucoup se mettre en valeur avec de pretigieux tableaux de chasse".

    [Nicolas Six, JDNet]

    Martial
    0
  13. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut martial
    cela fait plusieur post que je voi ceci
    met le lien et non le texte cela encombre le forum et nuit a la visibilite du post stp
    merci

    --------------------
    mes vrai passion la chasse et le balltrap
    0
  14. fabtastic
     
    Salut,

    j'ai le mm problème !
    je pensais être bien protégé (norton 2004 + internet security) mise à jour des prog de sécurité, de xp, la totale quoi !
    et voili que survient ce mess ds mon rapport, que bugbear attaque de mon ordi qq1 d'autre, ou essaye d'envoyer des données, bref il veut sortir de chez moi !

    Il est vrai aussi que quand je coupe ma mule les attaques diminuent et si je relance ma connexion (changement d'ip) elles se font rares. Si je reboot et que je ne lance aucun prog qui solicite internet (connexion établie) tout est calme !

    Aucun de mes fichiers n'est infecté, je suppose que Bugbear s'amorce avec le trafique P2P et qu'il se stock ds la mémoire RAM.

    Il est clair qu'une telle propagation ne peut qu'avoir affecté certains serveurs P2P et donc ... propagation encore une fois et forcément à notre inssu nous y partipons en temps qu'utilisateurs, et nous sommes nombreux !!

    Au fait pour ceux que ça interesse j'ai retrouvé le lien du post de Martial :
    http://solutions.journaldunet.com/0210/021004_bugbear.shtml

    A ce jour je ne vois pas de solution concrète que celles déjà émisent, si qq1 a une astuce, je suis tout ouïe ;)

    Ciao.
    0
  15. semleucalis
     
    Bonjour
    J'ai le meme probleme avec BD_Bugbear et je ne trouve pas de réponse.
    j'ai pourtant posé la question surplusieurs forums mais sans réponse.
    je vois sur ce forum que la question date un peu alors peut etre une solution a été emise?
    Serait il possible de la communiquer
    merci

    bon courage a ceux qui trouvent
    pjg
    0
  16. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut
    fait un scan ici
    Faite scan en ligne et coller le rapport ici sur le post
    utiliser l'antivirus en ligne suivant :
    http://www.ravantivirus.com/scan/
    Cliquer sur "To continue without subscribing click here" et attendre quelques minutes.

    Lorsque "Ready" est affiché dans "status", cocher la case "Autoclean" puis cliquer sur "Scan my PC"
    A la fin de l'analyse, copier/coller le rapport ici.

    la chasse et le balltrap ma vrai passion
    voir site perso dans profil
    0
  17. semleucalis
     
    Pour Baltrap34
    Bonjour
    Merci de ton aide
    Voici le resultat du Scan et il a trouvé 2 fichiers infectés
    Pourtant mon antivirus est a jour??
    comment les virer?
    a+
    jg

    Scan started at 26/09/2004 10:55:11

    Scanning memory...
    Scanning boot sectors...
    Scanning files...
    C:\Documents and Settings\Jean-Gilles\Local Settings\Application Data\Identities\{F9097B72-395C-4E07-A518-31AE2BD2E4DD}\Microsoft\Outlook Express\Boîte de réception.dbx->Message.111: (Untitled)->(part0000:)->(IFRAME0000) - HTML/IFrame_Exploit* -> Infected
    C:\WINDOWS\autoclk.exe - Trojan:Win32/KillReg.D -> Infected

    Scanned
    ============================
    Objects: 125427
    Directories: 5855
    Archives: 7684
    Size(Kb): -1646074
    Infected files: 2

    Found
    ============================
    Viruses found: 2
    Suspicious files: 0
    Disinfected files: 0
    Mail files: 706
    0
  18. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut
    pour celui la
    C:\Documents and Settings\Jean-Gilles\Local Settings\Application Data\Identities\{F9097B72-395C-4E07-A518-31AE2BD2E4DD}\Microsoft\Outlook Express\Boîte de réception.dbx->Message.111: (Untitled)->(part0000:)->(IFRAME0000) - HTML/IFrame_Exploit* -> Infected

    vas dans ta messagerie et supprimme tous se que tu trouve dans ta boite de reception ainsi que dans element supprimer
    ----
    pour celui ci
    C:\WINDOWS\autoclk.exe - Trojan:Win32/KillReg.D -> Infected

    demarre en mode sans ec hec pour cela
    redemarre en mode sans echec pour cela tu tapote la touche f8
    des le debut de l allumage du pc sans t arreter
    une fenetre vas souvrir tute deplace avec les fleches du clavier sur demarreren mode sans echec
    une fois sur le bureau il ni auras pas toutes les couleurs et autres c est normal a ce moment la
    tu click sur demarrer rechercher tous les fichiers et dossiers
    tu tape ou colle ceci
    C:\WINDOWS\autoclk.exe
    une fois trouver tu fait un click dessus(sur le fichier autoclk.exe ) et tu appuie sur la touche majuscule et sans la lacher tu appuie sur suppr
    pense a vider ta poubelle

    la chasse et le balltrap ma vrai passion
    voir site perso dans profil
    0
    1. semleucalis
       
      Salut

      Opération effectuée
      merci
      a+
      jg
      0
  19. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    de rien
    a++

    la chasse et le balltrap ma vrai passion
    voir site perso dans profil
    0
  20. semleucalis
     
    Bonsoir
    Encore moi
    afin de vérifier la suppression des deux virus j'ai refait un scan et voila un autre virus.
    Mais pourtant je suis abonné chez norton security pour la mise a jour des antivirus et je fais un scan une fois par semaine pourquoi ne le trouve t il pas?
    la procedure pour supprimer les virus est particuliere
    peux tu me donner la procedure pour le supprimer
    d'avance merci
    pjg
    Scan started at 27/09/2004 16:55:57

    Scanning memory...
    Scanning boot sectors...
    Scanning files...
    C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP227\A0040891.exe - Trojan:Win32/KillReg.D -> Infected

    Scanned
    ============================
    Objects: 125631
    Directories: 5913
    Archives: 7679
    Size(Kb): -1627171
    Infected files: 1

    Found
    ============================
    Viruses found: 1
    Suspicious files: 0
    Disinfected files: 0
    Mail files: 661
    0
  • 1
  • 2