Virus - BadTrans

---

Présentation du virus BadTrans

Le virus BadTrans (nom de code W32.BadTrans.B ou W32/Badtrans-B) est un ver se propageant à l'aide du courrier électronique. Il exploite également un autre mode de propagation :

• Les failles de Microsoft Internet Explorer

Le virus BadTrans.B affecte particulièrement les utilisateurs de Microsoft Outlook sous les systèmes d'exploitation Windows 95, 98, Millenium, NT4 et 2000, dans la mesure où le virus s'active par simple consultation du message (c'est-à-dire même si l'utilisateur ne clique pas sur la pièce jointe). http://www.microsoft.com/technet/security/bulletin/MS01-020.asp

Les actions du virus

Le ver BadTrans récupère la liste des adresses présentes dans les carnets d'adresses de l'utilisateur infecté, ainsi que dans les pages web contenues dans les dossiers de cache Internet et dans le répertoire Mes Documents.

Puis le virus BadTrans envoie à tous les destinataires un courrier :

• dont le corps est vide, ou comportant la phrase Take a look to the attachment.
• dont le sujet est Re: <Sujet du mail trouvé>
• dont la pièce jointe possède un nom composé de trois parties
  • Première partie: un des textes suivants :
    • CARD
    • DOCS
    • FUN
    • HAMSTER NEWS_DOC
    • HUMOR
    • IMAGES
    • ME_NUDE
    • New_Napster_Site
    • News_doc
    • PICS
    • README
    • S3MSONG
    • SEARCHURL
    • SETUP
    • Sorry_about_yesterday
    • YOU_ARE_FAT!
  • Seconde partie: une des extensions suivantes :
    • .DOC
    • .MP3
    • .ZIP
  • Troisième et dernière partie : une des extensions suivantes :
    • .pif
    • .scr

Ainsi, le message contiendra une pièce jointe du type :

• Me_Nude.MP3.scr
• News_doc.DOC.scr
• HAMSTER.DOC.pif
• PICS.doc.scr
• HUMOR.MP3.scr
• README.MP3.scr
• FUN.MP3.pif
• YOU_are_FAT!.MP3.scr
• ...

Symptomes de l'infection

Les postes de travail infectés par le ver BadTrans possèdent sur leur disque le fichier suivant :

• kdll.dll, ce dernier est un cheval de Troie capable d'enregistrer les frappes sur le clavier afin de récupérer vos mots de passe

Pour vérifier si vous êtes infectés, procédez à une recherche des fichiers cités ci-dessus sur l'ensemble de vos disques durs (Démarrer / Rechercher / Fichiers ou Dossiers).

Eradiquer le virus

Pour éradiquer le ver BadTrans, la meilleure méthode consiste tout d'abord à déconnecter la machine infectée du réseau, puis à utiliser un antivirus récent.

D'autre part, le virus se propage par l'intermédiaire d'une faille de sécurité de Microsoft Outlook, ce qui signifie que vous pouvez être contaminé par le virus sans cliquer sur la pièce jointe. Pour y remédier il est nécessaire de télécharger le patch (correctif logiciel) pour Microsoft Outlook. Ainsi, veuillez vérifier votre client de messagerie et télécharger le correctif si nécessaire :
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp

Plus d'informations sur le virus

• http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=WORM_BADTRANS.B
• http://www.01net.com/rdn?oid=168725&rub=3034
• http://vil.nai.com/vil/virusSummary.asp?virus_k=99069
• http://www.sophos.fr/virusinfo/analyses/w32badtransb.html
• http://www.F-Secure.com/v-descs/badtrans.shtml
• http://www.computing.vnunet.com/News/1127123

Discussions pertinentes trouvées dans le forum

07/03 20h28	W32/Badtrans	Windows	08/03 17h29->MO	7
19/02 11h56	Virus Badtrans	Virus/Sécurité	19/02 17h00->claude ray	3
18/03 20h52	Virus Badtrans et ses conséquences	Logiciels/Pilotes	18/03 20h52->Patoche	0
04/01 13h32	virus badtransll	Virus/Sécurité	04/01 13h32->
Discussion fermée Problème résolu		Plus de discussions sur « Badtrans »

Ce document intitulé « Virus - BadTrans » issu de l'encyclopédie informatique Comment Ça Marche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.