Accueil » L'école du mail » Spam etc. » Virus » Le virus-ver Badtrans
archive

Le virus-ver Badtrans

A peine Sircam oublié, voilà que Badtrans (ou plutôt Badtrans.B, une variante de Badtrans) fait son apparition. Ce virus-ver devrait piéger de nombreux internautes.

Comment fonctionne Badtrans ? Badtrans.B est un ver qui se propage par courrier électronique. Il peut infecter l’ordinateur de 2 manières différentes :

1) par une simple visualisation du message si le destinataire utilise une version non patchée d’Outlook Express 5.01 ou 5.5 (voir sur Arobase.org comment connaître sa version d’OE). Ce moyen d’infection est inopérant pour les autres versions du logiciel, notamment OE6. Badtrans.B exploite une faille d’Outlook Express (liée à l’entête MIME des e-mails) qui permet d’exécuter le fichier joint automatiquement à l’affichage du message.

2) par ouverture du fichier joint au message, mode d’infection plus traditionnel. Notez qu’à l’ouverture du fichier, un message d’erreur apparaît à l’écran : «INSTALL ERROR : File data corrupt: probably due to bad data transamission or bad disk access.». Trop tard : malgré ce message, Badtrans est déjà installé sur le système.

Sur une machine infectée (fonctionnant obligatoirement sous Windows), le ver s’envoie automatiquement, en répondant d’une part à tous les messages de la boîte de réception, et en adressanrt un message aux adresses recensées dans les pages HTML et ASP stockées dans le répertoire “Mes Documents” ou le cache d’Internet Explorer. Il suffit que les destinataires affichent le message infecté ou ouvrent la pièce jointe pour se voir à leur tour infectés.

Qui est visé par ce virus ?

Ce virus-ver ne peut infecter que les ordinateurs fonctionnant sous Windows. Cela n’empêche pas les utilisateurs de MacOS et de Linux ou d’Unix de recevoir les mails générés par le ver.

Quels dégâts fait le virus ?

Le ver installe un cheval de Troie qui permet de subtiliser mots de passe et numéros de cartes de crédit : il envoie ceux-ci, à l’insu de l’utilisateur, à l’adresse électronique ld8dl1@mailandnews.com.

Comment reconnaître un message contenant Badtrans ? Le message reçu a les caractéristiques suivantes :

  • Il est souvent une réponse à un courrier : son objet commence gééralement par “Re:”
  • Il est accompagné d’un fichier joint de 29020 octets, dont le nom est composé aléatoirement à partir d’un nom parmi FUN, HUMOR, DOCS, S3MSONG, Sorry_about_yesterday, ME_NUDE, CARD, SETUP, SEARCHURL, YOU_ARE_FAT!, HAMSTER, NEWS_DOC, New_Napster_Site, README, IMAGES, PICS, puis d’une extension .DOC., .MP3. ou .ZIP., puis d’une dernière extension .pif ou .scr (visible uniquement si Windows est configuré pour afficher toutes les extensions).
  • L’adresse de retour est précédée d’un trait de soulignement (exemple “_arobase@ifrance.com”), ceci afin de gêner les réponses faites pour avertir la personne infectée.

Comment ne pas se faire infecter ?

  • Si vous utilisez Outlook Express 5.01 et 5.5 : Microsoft recommande fortement l’installation d’un correctif pour éviter l’infection par simple prévisualisation du message : “Customers using IE should install the patch immediately”. Rendez-vous tout simplement sur Microsoft.com pour télécharger les patches.
  • Si vous avez un anti-virus : n’oubliez pas de mettre à jour la liste de définitions des virus.
  • Enfin, comme toujours, veillez à ne pas ouvrir les pièces jointes douteuses.

Je suis infecté. Comment me débarrasser du ver ? Vous pouvez actionner votre antivirus si vous en possédez un (après avoir éventuellement mis à jour la liste des virus). Vous pouvez aussi vous rendre sur Claymania.com qui propose gratuitement un utilitaire de désinfection ou suivre les instructions de F-Secure (en anglais).

Nous vous recommandons également :

Bénéficiez du soutien de la communauté Arobase.org dans les forums

Abonnez-vous à Arobase.org

Messageries, logiciels, applications, services : Arobase.org explore l'univers du courrier électronique. Pour suivre l'actualité de l'e-mail et recevoir nos trucs & astuces, rejoignez-nous sur les réseaux sociaux et abonnez-vous à notre newsletter mensuelle.

Postez un commentaire

Vous voulez donner votre avis ou apporter une précision ? Laissez-nous un commentaire !
Attention : si vous avez un problème particulier à résoudre, cherchez de l'aide et attendez une réponse rapide et personnalisée, nous vous conseillons de vous rendre de préférence dans les forums.

Votre adresse email ne sera pas publiéeLes champs requis sont surlignés *

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Au fait, vous aussi, vous pouvez afficher votre propre avatar dans les commentaires.


Toute l'actu de l'e-mail,
des astuces et des conseils pratiques
chaque mois dans votre boîte aux lettres.

Abonnez-vous à la lettre d'Arobase.org !

Votre adresse ne sera communiquée à aucun tiers. Promis !        En savoir plus