pimprenelle27 Administrateur
Messages : 1613 Points : 2268 Réputation : 51
| Sujet: Infection Bagle Dim 24 Mar - 1:27 | |
| |
Infection Bagle qu'est ce que c'est :
Le malware Bagle est en réalité un ver informatique se propageant essentiellement par les logiciels P2P et via de faux cracks (= logiciels piratés !), ainsi que par mail.
L'internaute croyant télécharger un Cra.ck pour un logiciel en faisant une recherche via un logiciel P2P installe lui-même le ver sur son ordinateur car le fichier.exe contenu dans l'archive est en réalité le ver Bagle !
Que peut faire Bagle :
- Il endommage les logiciels de sécurité,
- Désactive les mises à jour de Windows
- Supprime la clé SafeBoot nécessaire au redémarrage en mode sans échec.
- Il crée une backdoor (porte dérobée),
- Il envoie votre IP à une liste de serveur,
- Il infecte les disques amovibles,
- Parfois, il peut patcher une application légitime qui se lance au lancement de l'ordinateur (la barre d'outil Google, quicktime etc...). Comme la plupart des programmes ne le détectent pas, le fichier patché peut relancer l'infection si elle a été supprimée.
- Ralentissement de l'ordinateur,
- Affiche un message d'erreur si l'on tente de lancer un logiciel de sécurité qui dit : n'est pas une application Win32 valide" (car fichiers corrompus)
Les fichiers de l'infection Bagle sont :
wintems.exe hldrrr.exe srosa.sys srosa2.sys winfilse.exe flec006.exe mdelk.exe winupgro.exe wfsintwq.sys 111wfs1intwq.sys 11s11ro1s1a2.sys ...
Exemple de lignes issues d'un rapport ZHP Diag démontrant l'infection :
- Citation :
O41 - Driver: sK9Ou0s (sK9Ou0s) - C:\WINDOWS\system32\srosa2.sys => Infection Bagle (BAGLE.Worm) O44 - LFC:Last File Created 06/03/2010 - 10:00:14 ---A- C:\WINDOWS\System32\srosa2.sys => Infection Bagle (BAGLE.Worm) O44 - LFC:Last File Created 06/03/2010 - 10:00:34 ---A- C:\WINDOWS\ban_list.txt => Infection Bagle (BAGLE.Worm) O64 - Services: CurCS - sK9Ou0s (sK9Ou0s) - LEGACY_SK9OU0S => Infection Bagle (BAGLE.Troj) O64 - Services: CurCS - No object (No service) - LEGACY_SROSA => Infection Bagle O64 - Services: CS002 - sK9Ou0s (sK9Ou0s) - LEGACY_SK9OU0S => Infection Bagle (BAGLE.Troj) O64 - Services: CS002 - srosa (srosa) - LEGACY_SROSA => Infection Bagle
Comment faire pour s'en débarrasser :
- Pour s'en débarrasser, il faut utiliser : - Télécharger FindyKill (Site Officiel) qui est un outil spécifique contre l'infection Bagle. Il a été c**çu par El Desaparecido avec la participation active de mOe. Son rôle est la supression du ver Bagle, mais il rétabliera aussi vos fonctions de sécurité endomagées par le ver, de plus il renseignera les fichiers paralysés par le ver signalé comme "application Win32 non valide".. - Vous pouvez utiliser aussi [url]=http://download.bleepingcomputer.com/sUBs/ComboFix.exe] Combofix[/url] en cas de relance de l'infection. - Et pour finir passez cet outil généraliste MalwareBytes Anti-Malware afin de supprimer d'éventuels restes. - En toute dernière fin faire un rapport de diagnoctic de l'ordinateur avec ZHP Diag afin de s'assurer que l'infection n'est plus présente.
/!\ Bien penser à examiner le rapport de nettoyage de FindyKill, concernant la partie PEH, qui liste les logiciels touchés par Bagle et qu'il faudra remplacer.
- Si l'infection à endommagé vos logiciels de sécurités, il faut les désinstaller puis de les réinstaller après avoir désinfecté le pc.
Comment faire pour l'éviter :
- Il faut tout simplement faire très attention à ce que vous téléchargez sur les réseaux Peer-To-Peer. Évitez tout logiciel Cra.cké. Il existe souvent des alternatives gratuites aux logiciels Cra.ckés.
Si vous éprouvez des difficultés à retirer cette infection, nous vous invitons à venir nous demander conseil sur notre forum : => https://faei-entraide.forumactif.org/f4-virus-securite
|
| |
|