- sam. 9 juil. 2011 18:50
#2724
Bonjour,
Voici un sujet présentant l'infection Bagle/Beagle :
Qu'est-ce que c'est ?
Le malware Bagle, également appelé Beagle, est un ver informatique qui se propage essentiellement par les logiciels P2P et via de faux cracks (= logiciels piratés), ainsi que par mail, car c'est un ver informatique.
L'internaute croyant télécharger un crack pour un logiciel en faisant une recherche via un logiciel P2P installe lui-même le ver sur son ordinateur car le fichier.exe contenu dans l'archive est en réalité le ver Bagle.
Les noms des logiciels crackés sont très divers et touchent une gamme assez étendue de types de programmes de la vie de tous les jours pour se "camoufler" !
Ce ver est en général assez coriace à supprimer !
Lorsqu'il est exécuté, le ver affiche une fenêtre qui demandera de sélectionner un fichier à cracker. En fait, c'est un leurre car bien évidemment, il ne crackera aucun fichier !
Le message généralement obtenu après recherche est : Incorrect File Version.
Sa première action est d'infecter un fichier sain du démarrage : après une lecture du registre, il supprimera la clé safeboot qui permet le démarrage en mode sans échec. Il neutralise aussi le fonctionnement de l'antivirus et du pare-feu, et empêche leur réinstallation. Vous vous rendrez compte assez vite qu'une grande partie de programmes de sécurité ne pourront pas s'exécuter avec comme message d'erreur : "n'est pas une application win32 valide"
Attention ! Ne surtout pas chercher à redémarrer en mode sans échec en passant par la commande msconfig sous peine de voir Windows redémarrer indéfiniment en boucle ! Formatage obligatoire.
Voici quelques exemples de noms de Bagle :
wintems.exe
hldrrr.exe
srosa.sys
srosa2.sys
winfilse.exe
flec006.exe
mdelk.exe
winupgro.exe
wfsintwq.sys
111wfs1intwq.sys
11s11ro1s1a2.sys
Comment s'en débarrasser ?
1-FindyKill, téléchargeable à cette adresse : http://www.forum-entraide-informatique. ... -findykill
2-MBAM, téléchargeable à cette adresse : http://www.forum-entraide-informatique. ... lware-mbam
3-Combofix, qui est très puissant. Il faut penser à le renommer avant de l'enregistrer, il est téléchargeable à cette adresse : http://www.forum-entraide-informatique. ... 6-combofix
4-fs-fiwbagle, téléchargeable à cette adresse : http://www.forospyware.com/attachments/ ... xbagle.zip
Il est conseillé d'utiliser surtout MBAM et CF pour cette infection.
Une fois la désinfection terminée, du fait que l'infection Bagle désactive un nombre important de logiciels de protection, il faut tous bien les réactiver (AV, pare-feu, etc.) et purger la restauration du système.
Il est tout de même fortement conseillé de se faire désinfecter par un helper dans le forum Désinfection.
Voici un sujet présentant l'infection Bagle/Beagle :
Qu'est-ce que c'est ?
Le malware Bagle, également appelé Beagle, est un ver informatique qui se propage essentiellement par les logiciels P2P et via de faux cracks (= logiciels piratés), ainsi que par mail, car c'est un ver informatique.
L'internaute croyant télécharger un crack pour un logiciel en faisant une recherche via un logiciel P2P installe lui-même le ver sur son ordinateur car le fichier.exe contenu dans l'archive est en réalité le ver Bagle.
Les noms des logiciels crackés sont très divers et touchent une gamme assez étendue de types de programmes de la vie de tous les jours pour se "camoufler" !
Ce ver est en général assez coriace à supprimer !
Lorsqu'il est exécuté, le ver affiche une fenêtre qui demandera de sélectionner un fichier à cracker. En fait, c'est un leurre car bien évidemment, il ne crackera aucun fichier !
Le message généralement obtenu après recherche est : Incorrect File Version.
Sa première action est d'infecter un fichier sain du démarrage : après une lecture du registre, il supprimera la clé safeboot qui permet le démarrage en mode sans échec. Il neutralise aussi le fonctionnement de l'antivirus et du pare-feu, et empêche leur réinstallation. Vous vous rendrez compte assez vite qu'une grande partie de programmes de sécurité ne pourront pas s'exécuter avec comme message d'erreur : "n'est pas une application win32 valide"
Attention ! Ne surtout pas chercher à redémarrer en mode sans échec en passant par la commande msconfig sous peine de voir Windows redémarrer indéfiniment en boucle ! Formatage obligatoire.
Voici quelques exemples de noms de Bagle :
wintems.exe
hldrrr.exe
srosa.sys
srosa2.sys
winfilse.exe
flec006.exe
mdelk.exe
winupgro.exe
wfsintwq.sys
111wfs1intwq.sys
11s11ro1s1a2.sys
Comment s'en débarrasser ?
1-FindyKill, téléchargeable à cette adresse : http://www.forum-entraide-informatique. ... -findykill
2-MBAM, téléchargeable à cette adresse : http://www.forum-entraide-informatique. ... lware-mbam
3-Combofix, qui est très puissant. Il faut penser à le renommer avant de l'enregistrer, il est téléchargeable à cette adresse : http://www.forum-entraide-informatique. ... 6-combofix
4-fs-fiwbagle, téléchargeable à cette adresse : http://www.forospyware.com/attachments/ ... xbagle.zip
Il est conseillé d'utiliser surtout MBAM et CF pour cette infection.
Une fois la désinfection terminée, du fait que l'infection Bagle désactive un nombre important de logiciels de protection, il faut tous bien les réactiver (AV, pare-feu, etc.) et purger la restauration du système.
Il est tout de même fortement conseillé de se faire désinfecter par un helper dans le forum Désinfection.
FLTL_BYTintin et Milou