Passer au contenu

Badtrans.B s’intéresse à vos mots de passe

La nouvelle variante du ver Internet Badtrans marche sur les traces de son aîné. Elle installe un cheval de Troie sur le micro-ordinateur Windows infecté afin de récupérer sésames et numéros de cartes de crédit.

Badtrans.B, variante de Badtrans également connu sous les noms de W32/Badtrans@mm, I-Worm.Badtrans ou Backdoor-NK, est un virus de type ver Internet qui s’attaque aux machines Windows.

Mode opératoire

Apparu début avril sous sa forme ” A “, le ver Badtrans resurgit depuis quelques jours, avec les atours de la variante ” B “. Sa technique d’infection, selon le modèle du cheval de Troie, exploite une pièce attachée d’un courrier électronique reçu sur un client de messagerie gérant les MAPI (Messaging Application Programming Interface). Avec Outlook et Outlook Express de Microsoft, il suffit que le mode de prévisualisation des messages soit activé pour que le cheval de Troie s’introduise. Avec les autres clients de messagerie, la contamination est liée à l’ouverture de la pièce attachée.Une fois la plate-forme infectée, le ver s’autopropage en exploitant des messages non lus. Il répond aux expéditeurs en ajoutant une pièce jointe infectée. Le corps du message est généralement vide ou contient parfois le texte “Take a look to the attachment” (regardez le fichier attaché). Ce fichier possède l’extension .src ou .pif. Selon les premières indications des centres de veille des éditeurs d’antivirus, le fichier joint semble être du type MP3 ou Word : Hamster.doc.pif, Readme.mp3.scr, Humor.mp3.scr, par exemple.Dès que le fichier est prévisualisé ou ouvert, il s’autocopie dans le répertoire WindowsSystem sous le nom de Kernel32.exe. Il inscrit également la ligne HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOncekernel32=kernel32.exe dans la base de registres afin d’assurer sa pérennité. Enfin, il introduit le cheval de Troie, dont le rôle est de subtiliser mots de passe et numéros de cartes de crédit en envoyant ceux-ci, de manière transparente pour l’utilisateur, à un serveur SMTP. Le cheval de Troie est détecté comme étant Troj.PWS-AV par les antivirus de type MacAfee.

Dommages

Dans l’Hexagone, l’alerte a été donnée mais on ne signale encore aucune grande entreprise touchée par Badtrans variante B. En revanche, outre-Manche, l’opérateur de télécommunications BT (Btopenworld) aurait infecté un grand nombre de ses abonnés à travers des courriers électroniques envoyés par son centre d’assistance.

Eradication

Cette variante de Badtrans n’est guère éloignée du modèle original. Sa signature et son comportement sont connus et détectés, comme W32/Badtrans@mm, par la plupart des antivirus. Comme toujours, le ver causera des dommages sur les utilisateurs et les entreprises n’ayant pas installé les correctifs de Microsoft, ni mis à jour leurs solutions de détection et déradication de virus.Pour éviter la dissémination par simple prévisualisation, Microsoft propose des correctifs pour les versions 5.01 et 5.5 des clients de messagerie. Il est également possible de basculer vers Internet Explorer 6 afin de ne plus avoir de problèmes.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Augustin Garcia