Utilitaire de désinfection pour "I-Worm.Badtrans"

Par les participants du groupe alt.comp.virus
(Ces pages de sécurité sont le résultat d'un effort collectif continu.)


Main Menu

Cliquez ici pour des instructions de désinfection pour BadTrans.B Ces instructions ne sont valables que pour BadTrans.A   - Instructions développées par Axel Pettinger et Andrew Lee Veuillez lire toutes les instructions avant de procéder.

Instructions pour Windows 95/98 (les instructions n'ont pas été testées sous ME, mais elles pourraient fonctionner) Téléchargez le fichier   rembadtrans.zip   (fichier comprimé contenant un fichier batch nommé rembadtrans.bat) Décomprimez le fichier dans un répertoire local. Lancez le fichier "REMBADTRANS.BAT" Suivez attentivement les instructions! Redémarrez votre ordinateur quand il vous le demandera Vous devriez maintenant changer vos mots de passe car d'autres personnes ont peut-être eu la possibilité de se les procurer.

Instructions pour Windows NT/2000 Pour Windows NT et 2000, le procédé est légèrement plus compliqué. Téléchargez le fichier   rembadtransNT.zip   (fichier comprimé contenant un fichier batch nommé rembadtransNT.bat) Décomprimez le fichier dans un répertoire local. Pressez "CTRL-ALT-Suppr" et sélectionnez "Gestionnaire de Tâches" ("Taskmanager") Sélectionnez l'onglet "Processus" Sélectionnez le processus "INETD.EXE" et terminez-le. L'ordinateur vous demandera de continuer, confirmez par OK. Si un processus nommé "KERN32.EXE" existe, répétez cela pour ce processus Vérifiez encore une fois que ni INETD.EXE ni KERN32.EXE n'apparaissent sur la liste. Lancez maintenant le fichier "REMBADTRANSNT.BAT" Suivez attentivement les instructions! Redémarrez l'ordinateur Vous devriez maintenant changer vos mots de passe car d'autres personnes ont peut-être eu la possibilité de se les procurer.

C'est une bonne idée d'examiner votre ordinateur régulièrement à l'aide d'un logiciel antivirus. Analyse du ver Internet et cheval de Troie W32/Badtrans@MM. (Nous remercions beaucoup Axel Pettinger, qui a offert de l'assistance technique précieuse) Le ver Badtrans arrive par pièce jointe par courrier électronique. Voici une liste de noms de fichiers communs utilisés par le ver: Card.pif docs.scr fun.pif hamster.ZIP.scr Humor.TXT.pif images.pif New_Napster_Site.DOC.scr news_doc.scr Me_nude.AVI.pif Pics.ZIP.scr README.TXT.pif s3msong.MP3.pif searchURL.scr SETUP.pif Sorry_about_yesterday.DOC.pif YOU_are_FAT!.TXT.pif Le fichier a toujours la même taille: Taille = 13312 octets Somme de contrôle = 70447E72 Notez qu'un fichier ayant un des noms ci-dessus et qui arrive par courrier électronique ne contient pas forcément Badtrans, car Badtrans partage des noms de fichiers avec d'autres programmes malfaisants, particulièrement W95/MTX@MM. A l'exécution, le message suivant est affiché. C'est un faux message censé apaiser tout soupçon que pourrait avoir l'utilisateur. L'affichage de ce message indique que le programme malfaisant a été lancé et qu'il a largué sa charge. (Notez qu'au moins un vendeur a un message légèrement différent, nous n'en connaissons pas la raison). Il y a deux charges, un cheval de Troie Backdoor/Keylogger et une routine d'expédition en masse par courrier électronique. L'exécution initiale de la pièce jointe exécutable dépose un élément troyen nommé hkk32.exe dans le répertoire %windir%.(Notez que Badtrans infectera les machines Windows 9x et NT.) Il crée une copie de soi-même nommée INETD.EXE dans le répertoire %windir%, ensuite il l'ajoute à la ligne "run=" de WIN.INI pour Windows 9x ou crée une clé de la base de registres pour NT/2000. Cela assure que le ver s'installe en mémoire (et réinfecte si des éléments manquent) à chaque démarrage. Ces changements sont décrits de manière plus détaillée ci-dessous pour chaque système d'exploitation. Windows 9x/ME: {Win.ini} [windows] run=c:\WINDOWS\INETD.EXE HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\"kernel32=kern32.exe" Windows NT/2000: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\"kernel32=kern32.exe" HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\"Run=C:\WINNT\INETD.EXE" (Notez que certains sites déclarent fautivement que cette seconde clé se trouve dans l'ensemble HKEY_USERS sous Windows NT/2000, cela n'est pas le cas) HKK32.EXE crée une copie de soi-même nommée KERN32.EXE dans le répertoire %SysDir%, la lance et se termine. KERN32.EXE crée CP_23421.NLS et le fichier DLL troyen "keylogger" HKSDLL.EXE dans le répertoire %SysDir%. HKK32.EXE est ensuite effacé. Toutes les 23 secondes, KERN32.EXE vérifie l'existence de la clé "HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\kernel32=kern32.exe et la crée si elle a été supprimée. Cela signifie que la suppression de cette clé de la base de registres n'est pas forcément un moyen efficace pour éliminer ce programme malfaisant. Après le prochain démarrage, INETD.EXE est lancé et crée à nouveau le fichier HKK32.EXE, qui remplace le "vieux" fichier KERN32.EXE par soi-même, donc ce dernier aura toujours une empreinte d'heure plus récente, cela signifie aussi que la clé de la base de registres sera recrée pour assurer qu'elle ne disparaisse pas de la clé "RunOnce". INETD.EXE est une copie du programme entier, alors une infection comme elle vient d'être décrite aura lieu à chaque fois que ce programme sera lancé. L'empreinte d'heure de INETD.EXE et de HKSDLL.DLL ne change pas. INETD.EXE reste actif et caché en mémoire pendant 5 minutes, ensuite il utilise MAPI pour chercher des messages électroniques n'ayant pas encore été lus et essaie ensuite de s'envoyer lui-même en répondant à ces messages dans les répertoires Microsoft Outlook. Le ver sera attaché à ces messages sous l'un des noms de fichiers mentionnés ci-dessus. Le cheval de Troie essaiera aussi d'envoyer l'adresse IP de la victime à l'auteur du programme malfaisant par courrier. Quand il aura obtenu cette information, l'auteur pourra se connecter au système infecté par Internet et obtenir des informations telles que des noms d'utilisateurs et des mots de passe qui auront été sauvegardés par le "keylogger". L'élimination complète du programme malfaisant nécessite la suppression de: C:\%WINDIR%\INETD.EXE, taille = 13.312 octets, somme de contrôle = 70447E72 C:\%WINDIR%\system32\hksdll.dll, taille = 5.632 octets, somme de contrôle = FC293F1A C:\%WINDIR%\system32\KERN32.EXE, taille: 21.882 octets, somme de contrôle = D56605A3 Cela vaut aussi la peine de supprimer le fichier C:\%WINDIR%\system32\cp_23421.nls qui contient les informations obtenues par espionnage comme décrit ci-dessus. Sous Windows 9x, la ligne C:\WINDOWS\INETD.EXE doit être ôtée du fichier Win.ini de la section [windows] sur la ligne run= Sous Windows NT / 2000 la clé "Run" - valeur: "C:\WINNT\INETD.EXE" doit être supprimée de "HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\" Sous Windows NT, vous devrez terminer le processus KERN32.EXE afin de pouvoir l'effacer ainsi que hksdll.dll. Sous Windows 95, démarrez l'ordinateur en mode DOS pour effacer ces fichiers. Pour faciliter la suppression, vous pouvez utiliser l'utilitaire (voir plus haut) sur cette page. Examinez votre machine ensuite pour vous assurer que Badtrans a complètement disparu.

Fin des instructions


Quelques-uns d'entre vous se demandent peut-être...

"Comment puis-je protéger mon ordinateur dans le futur?"

Réponse: Cliquez ici pour quelques conseils!