Attaque virale sur petit réseau (W32/Bugbear.b)

Attaque virale sur petit réseau (W32/Bugbear.b) - Virus/Spywares - Windows & Software

Marsh Posté le 07-08-2007 à 02:11:11    

Hello les forumeurs !

 

Aujourd'hui, je me suis occcupé d'un petit réseau d'entreprise de 4 ordinateurs, placés derrière un serveur. Les utilisateurs ne pouvaient plus utiliser internet depuis plusireurs jours car, leur provider, enfin l'outil de sécurité Sandbox de ce dernier, a automatiquement placé une redirection directe vers une page indiquant que la ligne a été bloquée car une activité "hostile" a été détectée.

 

Après une analyse virale grâce à Ultimate Boot CD, j'ai trouvé deux traces de W32/Bugbear.b . Sachant que ce virus est largement connu, qu'il est sorti en 2003, n'est-il pas louche qu'il apparaîsse comme ça?
Pour qu'il ai infecté le réseau de la sorte, soit le virus a été placé quelque part en interne, ce qui est peu probable, soit le serveur est une passoire et un boulet a pu introduire le virus sur le réseau.
Ce n'est pas moi qui m'occupe du réseau normalement, donc je n'avais pas accès au serveur faute de log/pass. Le client a préféré attendre que le technicien habituel rentre de vacances.... le 16 août.

 

J'ai téléphoné au fournissseur d'accès pour essayer d'en savoir plus sur la raison du blocage, eh bien quelle fût ma surprise. Sur une échelle de gravité de 3 niveaux, le 2ème a été atteint. Si la ligne est réactivée et que mon client émet encore de l'activité suspecte, il sera "blacklisté" et n'aura plus jamais la possibilité d'utiliser les services du fournisseur... Ca ne rigole pas, donc.
Le gars au bout du fil était très surpris, il m'a conseillé de remettre chaque PC du réseau à 0, y compris le serveur pour être sûr d'éradiquer toute trace de cette saloperie. Car si on rate quelque chose, genre un petit virus furtif, bah mon client sera légèrement embêté...
J'ai travaillé le technicien pour qu'il m'en dise plus sur la raison du blocage, il était muet comme une carpe à ce sujet, ou en tout cas il disait ne pas avoir accès à ces informations.

 

Enfin voilà, j'ai un peu résumé et j'ai omis certains détails. Je ne suis pas un spécialiste des virus et j'aurais voulu avoir l'avis de connaisseurs de ce monde.
J'aurais aussi une question, est-ce que quand un antivirus détecte des traces d'un type de virus, est-ce que c'est forcément sa forme originale, ou ça peut aussi être un virus qui utilise des portions du virus détecté, mais avec des modifications apportées pour qu'il ait des d'autres possibilités d'action.

 

Merci d'avance pour vos contributions !

 


Edit : ortho, structure.


Message édité par cleanx le 07-08-2007 à 07:42:52
Reply

Marsh Posté le 07-08-2007 à 02:11:11   

Reply

Marsh Posté le 07-08-2007 à 08:01:01    

Tout dépend de l'antivirus.

Reply

Marsh Posté le 07-08-2007 à 10:49:13    

Comme l'a dit wolfman, tout dépend de l'antivirus. Ca dépend si il reconnait sa signature (ici polymorphique) et comment fonctionne sa protection résidentielle (si il en a une).
 
Dans le cas de ce virus, il se propage via le mail et les dossiers partagés. Si un employé a recu un mail contaminé et qu'il n'y a aucune protection  de ce côté là, il y a un risque d'une nouvelle contamination.
 
Pour ce qui est du FAI, je suis également surpris de sa réaction car une contamination dans une entreprise même très sécurisée est toujours possible. Si un nouveau virus apparait et qu'il n'est pas encore connu des anti-virus, il y a tout de même un risque de contamination. Et puis une contamination de l'intérieur est également possible. Il suffit qu'un employé emmène du boulot à la maison, qu'il recopie des fichiers sur une clé USB, puis involontairement ramène un virus de chez lui. Normalement la protection résidentielle fait un scan mais bon... on sait jamais.

Reply

Marsh Posté le 07-08-2007 à 16:54:35    

Wolfman a écrit :

Tout dépend de l'antivirus.


 
Hmmm, je vous assure, vous n'avez pas envie de savoir... :lol:  
 
Le provider en question, c'est Bluewin, le principal fournisseur d'accès Internet Suisse. Je n'ai trouvé aucun mail suspect dans le lot, c'est ça qui est bizarre. J'ai lu que bugbear.b pouvait exploiter une faille de IE 5.01 et 5.5, tous les postes sont sous IE 6 (sic). J'espère qu'il vont gicler la boîte qui s'occupe actuellement du réseau, c'est une honte.

Reply

Marsh Posté le 15-08-2007 à 08:55:50    

Salut,
 
Comme il a été dit précédemment W32/Bugbear.b est un ver capable d'infecter des fichiers de manière polymorphe. Autrement dit, chaque fois qu'un nouveau fichier sera infecté, le corps du virus qu'il "hébergera" sera différent. Il est parfois compliqué d'écrire une détection générique dans ce genre de situation et si l'antivirus laisse ne serait-ce qu'un fichier infecté qu'il n'a pas su détecter génériquement, il suffit que ce fichier soit executé une fois pour que l'infection se propage à nouveau.
Il serait intéressant de savoir si ce virus a déjà été trouvé quelques années (mois ?) auparavant sur ce réseau d'entreprise ou si dernièrement une machine précédemment isolée (probablement infectée) a été reliée au réseau.  
 
Dans tous les cas, ce ver/virus n'infecte - a priori - que les fichiers suivants:
    * hh.exe
    * mplayer.exe
    * notepad.exe
    * regedit.exe
    * scandskw.exe
    * winhelp.exe
 
Et dans Program Files:
    * ACDSee32\ACDSee32.exe
    * Adobe\Acrobat 4.0\Reader\AcroRd32.exe
    * adobe\acrobat5.0\reader\acrord32.exe
    * AIM95\aim.exe
    * CuteFTP\cutftp32.exe
    * DAP\DAP.exe
    * Far\Far.exe
    * ICQ\Icq.exe
    * Internet Explorer\iexplore.exe
    * kazaa\kazaa.exe
    * Lavasoft\Ad-aware 6\Ad-aware.exe
    * MSN Messenger\msnmsgr.exe
    * Outlook Express\msimn.exe
    * QuickTime\QuickTimePlayer.exe
    * Real\RealPlayer\realplay.exe
    * StreamCast\Morpheus\Morpheus.exe
    * Trillian\Trillian.exe
    * Winamp\winamp.exe
    * Windows Media Player\mplayer2.exe
    * WinRAR\WinRAR.exe
    * winzip\winzip32.exe
    * WS_FTP\WS_FTP95.exe
    * Zone Labs\ZoneAlarm\ZoneAlarm.exe
 
Si tu as un doûte, remplace tous ces fichiers (s'ils existent) sur toutes les machines du réseau par des originaux.
Vérifie aussi qu'il n'y a pas de fichiers executables louches (et non détectés par l'antivirus) dans le dossier startup (:\Documents and Settings\(username)\Start Menu\Programs\Startup\) ainsi que dans les dossiers partagés, étant donné que le ver tente de se copier à ces endroits.


Message édité par Holle le 15-08-2007 à 08:59:30
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed