virus bd_bugbear---j'en peux plus !

Question

Salut

Depuis quelques jours, mon firewall (Norton Internet Security 2004) me précise des alertes de ce type :

Détails : Tentative d'intrusion "BD_BUGBEAR" de votre ordinateur contre 82.64.149.205 détectée et bloquée
Intrus : localhost(3133)
Niveau de risque : Elevé
Protocole : TCP
IP attaquée : 82.64.149.205
Attacked Port : socks(1080)

De toute évidence, j'ai choppé le ver BUGBEAR.
Je précise : Mon antivirus Norton 2004 et mon firewall Norton 2004 sont tous les 2 à jours.
Bien que le firewall détecte le ver, l'antivirus ne le voit pas.

J'ai tout essayé :
- les FixBug de Symantec pour les vers bugbear.A et bugbear.B. Mais la encore, le ver n'est pas détecté.
- J'ai fait une recherche sur ce forum et on a déjà conseillé à certaines personnes une visite sur trendmicro.com. La encore, mon ver passe au travers

J'ai vu sur d'autres forums que beaucoup de personnes ont ce problème. Il s'agit surement d'une nouvelle dérivé du ver.
Si certains d'entre vous ont résolu ce problème ou ont des idées pour y remédier, je suis preneur. Parce que la, .

Merci d'avance

PS : si je peux éviter un format c:, ça serait cool.

Afficher la suite

hug · Answer

TU N'AS PAS le virus...je pensec'est juste qu'il a essayé de venir sur ton ordinateur...mais il a été arreter.

clay · Answer

Ben moi je crois plutot que c'est le ver qui essaye d'attaquer un autre PC en passant par moi, moi qui ai le ver : Détails : Tentative d'intrusion "BD_BUGBEAR" de votre ordinateur contre 82.64.149.205 détectée et bloquée Intrus : localhost(3133) Niveau de risque : Elevé Protocole : TCP IP attaquée : 82.64.149.205 Attacked Port : socks(1080) Pour preuve, 82.64.149.205 (IP attaquée qui n'est pas mon IP). Et l'intru se situe bien sur localhost, autrement dit, chez moi. Et aussi le message : Tentative d'intrusion "BD_BUGBEAR" de votre ordinateur contre 82.64.149.205 En gros, c'est moi qui ai le ver et mon firewall empeche celui-ci d'attaquer l'IP 82.64.149.205. Vala... Siouplé  Je suis quand même pas le seul a avoir choppé ce basard !

naza · Answer

moi aussi la misiere grav truck de fou il est super coriace ce truckmoi il me ren fou imposible de lefface de mon DD imposible de le trouve qui c quoi faire pour moi norton declanche une alert toutre les minuteet defoi le pc c plante .............................

sat'elite · Answer

idem.mais quand j'etais reellement inffecte l'utilisation de mon uc ne bougeait quasi pas des 100% ou etait completement instable parfois;faits je pense dus au ver.quand je fermait les processus host , ils redemarient instantanement parfois sous des non differents.la tout semble normal.j'ai donc coche la case qui permait de ne plus affiche les prochaine tentatives d' intrusions de la "personne".peut etre que je me trompe et que je suis egalement inffecte

balltrap34 · Answer

salutalors action numero 1 telecharger ce fichier : ftp://www.renonce.com/pub/renonce/RimouveXPFr.exe Action numero 2 :o) Demarrer en mode sans echec : tapotter sur la touche F8 sans arret desque tu allume ton PC Appliquer le fichier dans le mode sans echec le PC redemarre a la fin si c'est pas le cas tu fais un reboot tu ne touche plus a F8 et le PC reviendra tout seul en mode normal Action numero 3 copier ici le contenu du fichier resulata.txt qui se trouve dans le dossier tmp que le fichier rimouveur.exe vas creer ...

rataf · Answer

J'avais la m chose avec des messages toutes les 5 minutes. Comme beaucoup de gens parlaient d'emule, sur les forums consacrés au probleme , j'ai désinstallé la version que j'avais mis l'apres midi (emule0.42e Mfck). Les messages se sont instantanement arretés.... Je n'en sais pas plus ??????????  Bonne journée : )

balltrap34 · Answer

salutde toute facon p2p=probleme

stephane · Answer

Bonjour à tous Cela faisait quelques jours que BD_BUGBEAR avait cessé de m'importuner mais aujourdh'ui, il est revenu, mais y a t-il quelqu'un qui aurait une vrai réponse.Je suis de plus en plsu dessespéré. Une chose est sure c'est en relation avec la mule et si vous allez sur des moteur de recherche étranger, il en parle aussi, c'est donc un problème au niveau mondial et symantec.com n'en a jamais entendu parlé... Bizare Cela fait une semaine que je cherche sur tout le web une solution et je n'en ai pas trouvé. Quelqu'un pourrait-il me dire éventuellement les réels risque d'un truc du genre. Le fait que Norton l'ai bloqué me garantit-t-il ma sécurité? dans le sens, l'attaque a-t-elle vraiment échoué ou y'en a un qui peut vraiment faire ce qu'il veut de mon ordo? Merci d'avance pour les réponses.

B@B@R · Answer

Perso, je semble être aussi infecté par celui ci,genre kan je reçoit des attaques,c est en provenance de mon propre IP, et c surtt kan je suis sur emule.Mais juste avant je viens d avoir droit a une variante,je suis en réseau local derrière un routeur, malgré mon pare feu, apparemment je l ai kan mm choppé, (Internet Security), si ces gens là n en avaient jms entendu parlé de ce virus, le logiciel ne le reconnaitrait pas. Pour en revenir a mon blèmre, je faisait du FTP, le serveur du côté du PC infecté, et le PC client est aussi muni d un pare feu, losrque soudain, il arrête une tentative d attak depuis mon poste serveur. louche kan mm, moi ki pensait que ce n était pas un virus, mais plutôt un bug, ou une tentative d intrusion échouée !!!Je viens de rebooter ma machine serveur, et qu est ce qui apparaît, un nouveau message me disant que mon Norton viens d arrêter une tentative d intrusion par un cheval de troie nommé RASmin.Jusk là c est bizarre, mais le pire, c est que ça proviens de nouveau de mon propre ordinateur.........Est ce donc lié???Si je trouve une réponse je vous en tiendrait informé, mais j avoue être perplexe, surtt ke tout les scan que j ai fe, n ont rien detecté. Ni les scans on line.comme celui de Pandasoftware ou ceux de Sygate ki testent en plus les ports éventuellement contaminés pas un troyen ainsi que d autres paramètre de sécurité...

troudball · Answer

Rebonjour à tous,je sui l'auteur du message ci-dessus : "Cela faisait quelques jours que BD_BUGBEAR avait cessé de m'importuner ..."Juste pour vous dire que personellement j'ai abdiqué, formaté, et réinstalé... ET maintenant je suis tranquille(heuresement...ouf).Néanmoins, je reviendrais régulièrement sur ce forum parce que vraiment, je voudrais bien connaitre le pourquoi du comment, on est un tas de personne (et comme je l'avais déjà écrit : au niveau international) à avoir eu ces attaques sans rien pouvoir faire ni sans débarraser et c'est quand meme dingue!!!Pour informations : moi aussi je suis en réseau local (si çà peut faire avancer le schmilblick...) et puis il faut le dire (mais dites le si ce n'est pas le cas) : Cà vient du P2P, EMULE, mais d'ou exactement...???A+

martial · Answer

Bonjour clay,Imprime ca et pete un coup!  Sécurité Le virus BugBear espionne discrètement les PC L'alerte semble désormais plutôt sérieuse et justifie que l'on télécharge rapidement la dernière mise à jour de son antivirus. BugBear est non destructif, mais il est admirablement équipé pour l'espionnage. (Vendredi 4 octobre 2002)          A lire également  Virus, vers, chevaux de Troie... L'actualité de la menace  Revue des failles du 17 septembre au 1er octobre   Alerte Jaune chez Trend Micro, alerte de niveau 4 sur 5 chez Symantec, BugBear fait beaucoup couler d'encre depuis son apparition - le 30 Septembre 2002. Pourtant, le virus le plus marquant de ce trimestre n'est pas destructif : il se contente d'ouvrir une large porte aux pirates sur le contenu des machines qu'il infecte. Pourtant, d'aucuns considèrent que ce danger est aussi préjudiciable que celui d'une destruction de données pour une enteprise. BugBear mérite donc qu'on se méfie de lui, d'autant que sa vitesse de propagation est assez élevée : plusieurs dizaines de milliers de machines ont déjà été pénétrées par le virus depuis cinq jours.  Un virus couplé à une faille A qui la faute ? Une fois n'est pas coûtume, les internautes dépourvus d'antivirus - ainsi que ceux qui ne prennent pas la peine de mettre à jour leurs définitions virales - ne sont pas les seuls visés. Le virus d'origine Malaysienne exploite en effet une ancienne faille d'Internet Explorer - disparue depuis la version 6 - qui permet à un code malicieux de se glisser sur un ordinateur par le truchement d'un mail reçu sous Outlook, et même si la machine est équipée d'un antivirus - sous certaines conditions. Ce qui fait dire au Directeur des Laboratoires Européens de recherche de Trend Micro  - Marc Blanchard - que "les antivirus ne suffisent plus à protéger une machine. A l'avenir, les virus vont s'appuyer de plus en plus sur des failles applicatives pour pénétrer les systèmes d'entreprise. En complément d'un antivirus, je conseille vivement de patcher les applicatifs des machines à protéger très rigoureusement".Pénétrer n'est pas infecter Heureusement, si BugBear peut entrer sur certaines machines sans se faire repérer, il ne peut pas pour autant s'exécuter tout aussi facilement : "Tous les antivirus mis à jour seront capables de bloquer BugBear au moment où il se lancera. Mais seuls les antivirus configurés pour scanner régulièrement la mémoire vive de la machine pourront empêcher le virus de rentrer sur l'ordinateur". Parmi les dizaines de milliers de répliques de BugBear qui courent dans la nature, l'immense majorité n'a donc fait que pénétrer sur un ordinateur sans l'infecter réellement.Restent encore les milliers de machines dont les définitions virales ne sont pas à jour, ainsi que celles qui sont tout simplement dépourvues d'antivirus. C'est gràce à ces postes que BugBear se propage : le virus se glisse dans Outlook sous la forme d'un fichier joint qui ne possède aucun signe distinctif : son nom et son extension sont générés aléatoirement. Quant au corps du texte, il est inspiré de la correspondance personnelle du propriétaire de la machine infectée. Espionnage feutré Une fois exécuté, BugBear ouvre une backdoor sur le Web et envoie des informations sur la machine à une adresse prédéfinie, ce qui permet au créateur du virus d'accéder à tous les fichiers contenus sur la machine, ainsi qu'aux dernières commandes saisies au clavier - un code de carte bleue par exemple. BugBear est également capable de désactiver la protection de certains antivirus et firewalls afin de faciliter la tache du pirate. Le tout dans la plus grande discrétion. Une perspective qui fait froid dans le dos.Cependant, à en croire Marc Blanchard, l'intention du créateur du Virus n'est sans doute pas de pratiquer l'espionnage industriel : "les virus espions n'y vont pas par quatre chemins, ils envoient directement une sélection de fichiers sensibles au pirate. A mon avis - et en l'état actuel de nos connaissances - BugBear serait plutôt le produit d'un hacker qui cherche à établir un record d'intrusions sur les réseaux des grandes entreprises qu'un espion. Les pirates aiment beaucoup se mettre en valeur avec de pretigieux tableaux de chasse".  [Nicolas Six, JDNet]   Martial

balltrap34 · Answer

salut martialcela fait plusieur post que je voi cecimet le lien et non le texte cela encombre le forum et nuit a la visibilite du post stpmerci--------------------mes vrai passion la chasse et le balltrap

fabtastic · Answer

Salut,j'ai le mm problème !je pensais être bien protégé (norton 2004 + internet security) mise à jour des prog de sécurité, de xp, la totale quoi !et voili que survient ce mess ds mon rapport, que bugbear attaque de mon ordi qq1 d'autre, ou essaye d'envoyer des données, bref il veut sortir de chez moi !Il est vrai aussi que quand je coupe ma mule les attaques diminuent et si je relance ma connexion (changement d'ip) elles se font rares. Si je reboot et que je ne lance aucun prog qui solicite internet (connexion établie) tout est calme !Aucun de mes fichiers n'est infecté, je suppose que Bugbear s'amorce avec le trafique P2P et qu'il se stock ds la mémoire RAM.Il est clair qu'une telle propagation ne peut qu'avoir affecté certains serveurs P2P et donc ... propagation encore une fois et forcément à notre inssu nous y partipons en temps qu'utilisateurs, et nous sommes nombreux !!Au fait pour ceux que ça interesse j'ai retrouvé le lien du post de Martial :http://solutions.journaldunet.com/0210/021004_bugbear.shtmlA ce jour je ne vois pas de solution concrète que celles déjà émisent, si qq1 a une astuce, je suis tout ouïe ;)Ciao.

fabtastic · Answer

un article de plus à lire pas trés long :http://www.01net.com/article/194555.html

semleucalis · Answer

BonjourJ'ai le meme probleme avec BD_Bugbear et je ne trouve pas de réponse.j'ai pourtant posé la question surplusieurs forums mais sans réponse.je vois sur ce forum que la question date un peu alors peut etre une solution a été emise?Serait il possible de la communiquermercibon courage a ceux qui trouventpjg

balltrap34 · Answer

salutfait un scan iciFaite scan en ligne et coller le rapport ici sur le postutiliser l'antivirus en ligne suivant : http://www.ravantivirus.com/scan/  Cliquer sur "To continue without subscribing click here" et attendre quelques minutes.   Lorsque "Ready" est affiché dans "status", cocher la case "Autoclean" puis cliquer sur "Scan my PC"A la fin de l'analyse, copier/coller le rapport ici.la chasse et le balltrap ma vrai passionvoir site perso dans profil

semleucalis · Answer

Pour Baltrap34BonjourMerci de ton aideVoici le resultat du Scan et il a trouvé 2 fichiers infectés Pourtant mon antivirus est a jour??comment les virer?a+jgScan started at 26/09/2004 10:55:11 Scanning memory...Scanning boot sectors...Scanning files...C:\Documents and Settings\Jean-Gilles\Local Settings\Application Data\Identities\{F9097B72-395C-4E07-A518-31AE2BD2E4DD}\Microsoft\Outlook Express\Boîte de réception.dbx->Message.111: (Untitled)->(part0000:)->(IFRAME0000) - HTML/IFrame_Exploit* -> InfectedC:\WINDOWS\autoclk.exe - Trojan:Win32/KillReg.D -> InfectedScanned============================	Objects: 125427	Directories: 5855	Archives: 7684	Size(Kb): -1646074	Infected files: 2Found============================	Viruses found: 2	Suspicious files: 0	Disinfected files: 0	Mail files: 706

balltrap34 · Answer

salutpour celui laC:\Documents and Settings\Jean-Gilles\Local Settings\Application Data\Identities\{F9097B72-395C-4E07-A518-31AE2BD2E4DD}\Microsoft\Outlook Express\Boîte de réception.dbx->Message.111: (Untitled)->(part0000:)->(IFRAME0000) - HTML/IFrame_Exploit* -> Infected vas dans ta messagerie et supprimme tous se que tu trouve dans ta boite de reception ainsi que dans element supprimer----pour celui ciC:\WINDOWS\autoclk.exe - Trojan:Win32/KillReg.D -> Infected demarre en mode sans ec hec pour celaredemarre en mode sans echec pour cela tu tapote la touche f8 des le debut de l allumage du pc sans t arreter une fenetre vas souvrir tute deplace avec les fleches du clavier sur demarreren mode sans echec une fois sur le bureau il ni auras pas toutes les couleurs et autres c est normal a ce moment la tu click sur demarrer rechercher tous les fichiers et dossiers tu tape ou colle ceciC:\WINDOWS\autoclk.exe une fois trouver tu fait un click dessus(sur le fichier autoclk.exe ) et tu appuie sur la touche majuscule et sans la lacher tu appuie sur supprpense a vider ta poubellela chasse et le balltrap ma vrai passionvoir site perso dans profil

balltrap34 · Answer

de riena++la chasse et le balltrap ma vrai passionvoir site perso dans profil

semleucalis · Answer

BonsoirEncore moiafin de vérifier la suppression des deux virus j'ai refait un scan et voila un autre virus.Mais pourtant je suis abonné chez norton security pour la mise a jour des antivirus et je fais un scan une fois par semaine pourquoi ne le trouve t il pas?la procedure pour supprimer les virus est particulierepeux tu me donner la procedure pour le supprimerd'avance mercipjgScan started at 27/09/2004 16:55:57 Scanning memory...Scanning boot sectors...Scanning files...C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP227\A0040891.exe - Trojan:Win32/KillReg.D -> InfectedScanned============================	Objects: 125631	Directories: 5913	Archives: 7679	Size(Kb): -1627171	Infected files: 1Found============================	Viruses found: 1	Suspicious files: 0	Disinfected files: 0	Mail files: 661

bernie61 · Answer

salutil est caché dans le dossier restauration système; applique ceci http://www.libellules.ch/desactiver_restauration.phpDésactiver, redémarrer  puis réactiverA+

jenjonetti · Answer

bonjour a tous
jai le meme probleme avec bugbear
jai fait le scan avec rav et voici le resultat

Scan started at 08/11/2004 16:59:50

Scanning memory...
Scanning boot sectors...
Scanning files...
C:\WINDOWS\system32\fsfbmi.exe - Backdoor:Win32/Spybot.AI -> Infected
C:\WINDOWS\system32\winole.exe - Backdoor:Win32/Spybot.AI -> Infected

Scanned
============================
Objects: 28115
Directories: 1901
Archives: 801
Size(Kb): -2065153
Infected files: 2

Found
============================
Viruses found: 1
Suspicious files: 0
Disinfected files: 0
Mail files: 42

jai deja suprimer winole mais pour fsfbmi.exe je ne le trouve pas dans le repertoire specifie (bien que je voi e les fichiers et dossiers caches et fichiers systemes)
jai deja rencontrer des problemes avec ce .exe javais reussi a le supprimer mais il semble revenir alors que mon internet security de norton ne le repere plus
jai aussi supprimer dans le registre toutes valeurs ou cles rattachees à ce .exe
je ne sais plus quoi faire aidez moi svp

JiGéGé · Answer

Salut Ou vois tu Bugbear, là ? moi je lis <> Alors le meiux c'est d'aller voir sur Secuser.com qui propose un fix pour ca. et vite mettre ton antivirus à jour + WinUpdate + firewall ~-< JIGÉGÉ >-~

jenjonetti · Answer

tout d'abord merci d'avoir repondu aussi vite

je suis d'accord avec toi pour bugbear bien que norton internet security m'a deja detecter des tentatives d'intrusion a cause de lui, certainement pour envoyer des informations a une autre IP
mais RAV ne le detecte pas
je ne comprend pas

sinon si tu as des informations sur le spybot
j'ai deja supprimer tous les fichiers infectes, les cles et valeurs dans le registre mais il me le detecte toujours dans C:/system32 bien que je ne le trouve pas moi meme avec l'explorateur windows (je vois les fichiers systemes et caches)

si tu peut me trouver une solution je ne voi splus quoi faire
merci

balltrap34 · Answer

salut
telecharge ceci et utilise le

Pocket Kill Box :
http://download.broadbandmedic.com/KillBox.exe
(ici) http://pageperso.aol.fr/balltrap34/page%20virus.htm

-Ouvre le
-Selectionne le fichier à supprimer,
ou copier coller
clik sur la croix blanche
reponds "oui"

-Vide la corbeille.

Submit dossier de backup supprime le c :submit

la chasse et le balltrap ma vrai passion
voir site perso dans profil

GrandMa Ho · Answer

Salut et merci Balltrap.

Encore une info utile !

Mais je trouve quand même compliquée tout ce que j'ai lu ici comme méthode pour supprimer les intrus.

Je dois dire que je fonctionne assez au pifomètre et que ça me réussit souvent.

balltrap34 · Answer

salut GrandMa Ho tu sais certain sont dur a virerla chasse et le balltrap ma vrai passionvoir site perso dans profil

GrandMa Ho · Answer

Je sais et il me semble avoir dit que si c'est vraiment méchant, il n'y a rien d'autre à faire que de formater.

Jusqu'à présent, je n'ai pas encore eu le cas.

Je continue à penser que les techniques d'élimination proposées ici sont très compliquées.

Il est vrai qu'il n'est pas toujours évident d'identifier le fichier infecté, quand on fait une recherche avec le Windows Explorer. J'avoue que j'ai eu des fichiers indésirables du type *.cab et que j'ai vraiment dû chercher pour savoir comment les éliminer. Parce que je ne les voyais pas à première vue.

A ce propos, je suis amenée à dire qu'il faut être prudent quand on télécharge. Je ne vais en tout cas plus me risquer à utiliser la mule ou n'importe quoi dont je ne suis pas sûre.

Prévenir évite de devoir guérir !

balltrap34 · Answer

saluttout a fait d accord avec toila chasse et le balltrap ma vrai passionvoir site perso dans profil

B@B@R · Answer

T as de la chance GrandMa Ho pask en supprimant des fichier comme tu le fais,cça risk de plus te sourrir longtemps cette chance, les fichiers *.cab sont des archives de windows qui contiennent des Packs d installations, également nommés cabinets. D où le nom

lapin · Answer

bonjour,
je ne sais pas si j'ai le même virus mais apparement le probleme est le même
j'ai fais le scan preconisé voici le resultat
merci d'avance
jeny

Scan started at 18/11/2004 12:52:34

Scanning memory...
process://C:\WINDOWS\System32\winxp.exe - Exploit:Win32/Lsass.gen! -> Suspicious
Scanning boot sectors...
Scanning files...
C:\WINDOWS\autoclk.exe - Trojan:Win32/KillReg.D -> Infected
C:\WINDOWS\system32\winxp.exe->(PEDiminisher) - Exploit:Win32/RpcDcom.gen! -> Suspicious

Scanned
============================
Objects: 11732
Directories: 883
Archives: 559
Size(Kb): 1868013
Infected files: 1

Found
============================
Viruses found: 1
Suspicious files: 2
Disinfected files: 0
Mail files: 41

stephane · Answer

bonjour a tous, je suis arrivé ici par hazard, en cherchant sur google des infos sur le port 1080 (socks) car j'ai remarqué des tentatives d'intrusion sur mon pc par ce port...

ce message est juste pour votre information...

j'utilise linux (Mdk10 officielle) donc je ne me sens pas vraiment concerné par Bugbear mais voici ce que j'ai remarqué :

sur ma machine, j'utilise aussi samba (partage de fichiers avec windows) qui se lance automatiquement au démarrage de la machine...

si je lance une connection internet sans arreter samba, dans les secondes qui suivent j'ai les tentatives d'intrusion citées plus haut...
si je désactive samba et que je relance ma connexion internet, je n'ai plus ces tentatives... meme avec mon firewall stoppé et tout accessible de l'extérieur (et oui je prend des risques mais j'aime bien savoir :))

ma conclusion est donc : peut etre que Bugbear se propage par emule (je ne l'utilise pas) mais une chose est sure, c'est que des que votre windows se connecte a internet, il ouvre des ports (145,445,139,137...), les memes que samba, et des lors, votre machine devient vulnérable...

peut etre ne s'agit-il pas de bugbear, mais en tout cas, il s'agit d'un code malicieux qui cherche a pénetrer un pc des que certains ports utilisés par microsoft sont ouverts.... (le port source de l'attaquant change sans arret, le port destination de la victime est toujours le 1080...)

voila voila, je ne sais pas si cela sera tres utile, mais je pense que cela mérite réflexion et attention.... surtout pour ceux qui ont des réseaux locaux, avec des partages réseaux :-)

stephane

Virus bd_bugbear--->j'en peux plus !

32 réponses

Votre réponse

Discussions similaires

Newsletters