Le virus-ver Badtrans

A peine Sircam oublié, voilà que Badtrans (ou plutôt Badtrans.B, une variante de Badtrans) fait son apparition. Ce virus-ver devrait piéger de nombreux internautes.

Comment fonctionne Badtrans ? Badtrans.B est un ver qui se propage par courrier électronique. Il peut infecter l’ordinateur de 2 manières différentes :

1) par une simple visualisation du message si le destinataire utilise une version non patchée d’Outlook Express 5.01 ou 5.5 (voir sur Arobase.org comment connaître sa version d’OE). Ce moyen d’infection est inopérant pour les autres versions du logiciel, notamment OE6. Badtrans.B exploite une faille d’Outlook Express (liée à l’entête MIME des e-mails) qui permet d’exécuter le fichier joint automatiquement à l’affichage du message.

2) par ouverture du fichier joint au message, mode d’infection plus traditionnel. Notez qu’à l’ouverture du fichier, un message d’erreur apparaît à l’écran : «INSTALL ERROR : File data corrupt: probably due to bad data transamission or bad disk access.». Trop tard : malgré ce message, Badtrans est déjà installé sur le système.

Sur une machine infectée (fonctionnant obligatoirement sous Windows), le ver s’envoie automatiquement, en répondant d’une part à tous les messages de la boîte de réception, et en adressanrt un message aux adresses recensées dans les pages HTML et ASP stockées dans le répertoire « Mes Documents » ou le cache d’Internet Explorer. Il suffit que les destinataires affichent le message infecté ou ouvrent la pièce jointe pour se voir à leur tour infectés.

Qui est visé par ce virus ?

Ce virus-ver ne peut infecter que les ordinateurs fonctionnant sous Windows. Cela n’empêche pas les utilisateurs de MacOS et de Linux ou d’Unix de recevoir les mails générés par le ver.

Quels dégâts fait le virus ?

Le ver installe un cheval de Troie qui permet de subtiliser mots de passe et numéros de cartes de crédit : il envoie ceux-ci, à l’insu de l’utilisateur, à l’adresse électronique ld8dl1@mailandnews.com.

Comment reconnaître un message contenant Badtrans ? Le message reçu a les caractéristiques suivantes :

• Il est souvent une réponse à un courrier : son objet commence gééralement par « Re: »
• Il est accompagné d’un fichier joint de 29020 octets, dont le nom est composé aléatoirement à partir d’un nom parmi FUN, HUMOR, DOCS, S3MSONG, Sorry_about_yesterday, ME_NUDE, CARD, SETUP, SEARCHURL, YOU_ARE_FAT!, HAMSTER, NEWS_DOC, New_Napster_Site, README, IMAGES, PICS, puis d’une extension .DOC., .MP3. ou .ZIP., puis d’une dernière extension .pif ou .scr (visible uniquement si Windows est configuré pour afficher toutes les extensions).
• L’adresse de retour est précédée d’un trait de soulignement (exemple « _arobase@ifrance.com »), ceci afin de gêner les réponses faites pour avertir la personne infectée.

Comment ne pas se faire infecter ?

• Si vous utilisez Outlook Express 5.01 et 5.5 : Microsoft recommande fortement l’installation d’un correctif pour éviter l’infection par simple prévisualisation du message : « Customers using IE should install the patch immediately ». Rendez-vous tout simplement sur Microsoft.com pour télécharger les patches.
• Si vous avez un anti-virus : n’oubliez pas de mettre à jour la liste de définitions des virus.
• Enfin, comme toujours, veillez à ne pas ouvrir les pièces jointes douteuses.

Je suis infecté. Comment me débarrasser du ver ? Vous pouvez actionner votre antivirus si vous en possédez un (après avoir éventuellement mis à jour la liste des virus). Vous pouvez aussi vous rendre sur Claymania.com qui propose gratuitement un utilitaire de désinfection ou suivre les instructions de F-Secure (en anglais).