INFORMATIONS COMPLEMENTAIRES Comme précédemment annoncé, les virus BugBear et Opaserv connaissent actuellement une propagation importante. En cas d'infection ou en cas de doute, deux utilitaires gratuits sont désormais disponibles pour les utilisateurs ne possédant pas d'antivirus. AntiBugBear (BitDefender) et FixOpsrv (Symantec) permettent de rechercher et d'éliminer les virus correspondants. Virus Bugbear Bugbear est un virus qui se propage par email et via les dossiers partagés. Il se présente sous la forme d'un message dont le titre et le nom du fichier joint sont aléatoires. Si le fichier joint est exécuté, le virus se copie dans le répertoire Windows avec un nom aléatoire et installe un troyen de type "keylogger" qui espionne les frappes au clavier. Bugbear est enfin capable de désactiver les antivirus et firewalls personnels les plus populaires. TYPE : Ver ALIAS : Worm/Tanatos (CentralCommand) Win32Bugbear (Computer Associates) W32/Bugbear.A@mm (F-Secure) I-Worm.Tanatos (Kaspersky) W32/Bugbear@MM (McAfee) W32/Bugbear.worm (Panda Software) W32/Bugbear-A (Sophos) W32.Bugbear@mm (Symantec) WORM_NATOSTA.A (Trend) TAILLE : 50.688 octets DECOUVERTE : 30/09/2002 SYSTEME(S) AFFECTE(S) : Windows 95 Windows 98 Windows Me Windows NT Windows 2000 Windows XP PREVENTION : Les utilisateurs concernés doivent mettre à jour leur antivirus. En cas de doute, les utilisateurs d'Internet Explorer doivent également mettre à jour leur navigateur via le site de Microsoft <http://www.microsoft.com/windows/ie/download/critical/Q290108/default.a sp> ou le service <http://www.secuser.com/outils/index.htm#windowsupdate> WindowsUpdate pour corriger la faille exploitée par le virus pour s'exécuter automatiquement (MS01-020). DESINFECTION : Les utilisateurs ne disposant pas d'un antivirus peuvent utiliser gratuitement l'utilitaire de <http://www.secuser.com/telechargement/index.htm#BugBear> désinfection AntiBugBear pour rechercher et éliminer le virus. DESCRIPTION TECHNIQUE : Le virus se présente sous la forme d'un message vide dont le titre est aléatoire. Quelques titres possibles : * Get Your American Green Card * FW: horoscope test * hello! * update * hmm.. * Payment notices * Just a reminder * Correction of errors * history screen * Announcement * various * Introduction * Interesting... * I need help about script!!! * Stats * Please Help... * Report * Membership Confirmation * Get a FREE gift! * Today Only * New Contests * Lost & Found * bad news * fantastic * click on this! * Market Update Report * empty account * My eBay ads * 25 merchants and rising * CALL FOR INFORMATION! * new reading * Sponsors needed * SCAM alert!!! * Warning! * its easy * free shipping! * Daily Email Reminder * Tools For Your Online Business * New bonus in your cash account * Your Gift * $150 FREE Bonus! * Your News Alert * Get 8 FREE issues - no risk! * Greets! * Confirmation of Recipes? Le virus s'envoie avec une fausse adresse d'expéditeur, donc il est le plus souvent impossible de prévenir la personne infectée. En cours de rédaction... Virus Opaserv Opaserv est un virus qui se propage via les dossiers partagés, mais qui n'est pas capable de se propager par email. Le virus se copie dans le répertoire Windows sous le nom SCRSVR.EXE puis modifie la base de registres afin d'être exécuté à chaque démarrage du système. Opaserv tente ensuite de se propager aux autres ordinateurs du réseau en se copiant dans les dossiers laissés en partage ouvert. Il tente enfin d'accéder à une URL distante (opasoft.com) pour se mettre à jour, mais le site semble avoir été fermé. TYPE : Ver ALIAS : Worm.Win32.Opasoft (Kaspersky) W95/Scrup.worm (McAfee) W32/Opaserv-A (Sophos) W32.Opaserv.Worm (Symantec) WORM_OPASOFT.A (Trend) TAILLE : 28.672 octets DECOUVERTE : 30/09/2002 SYSTEME(S) CONCERNE(S) : Windows 95 Windows 98 Windows Me PREVENTION : Les utilisateurs concernés doivent mettre à jour leur antivirus. Il est par ailleurs conseillé de mettre fin aux partages de dossiers inutiles et de protéger les autres par mot de passe afin de prévenir toute propagation. DESINFECTION : Les utilisateurs ne disposant pas d'un antivirus peuvent utiliser gratuitement l'utilitaire de <http://www.secuser.com/telechargement/index.htm#Opaserv> désinfection FixOpsrv pour rechercher et éliminer le virus. En cas de contamination d'un réseau local, les ordinateurs infectés doivent être déconnectés du réseau afin de stopper la propagation du ver, et n'être reconnectés que lorsque tous les ordinateurs ont été désinfectés. DESCRIPTION TECHNIQUE : En cours de rédaction... INFORMATIONS COMPLEMENTAIRES En cours de rédaction... ---> Shaka( Rudy) Helpc list owner <mailto:shaka.rudy@xxxxxxxxx> shaka.rudy@xxxxxxxxx