Sélectionner une page

Virus Bagle : Un ver, ça va…

bagle ou bagle ?A force de désinfecter les PC de mes enfants, de mes ami(e)s, voisin(e)s et enfants de ceux-ci, j’ai une certaine habitude des malwares, virus, vers, rootkits et autres troyens et suis pourvu d’une trousse à outil conséquente pour y faire face. Car depuis l’avènement des messageries (MSN) et des jeux online en flash, nos chères petites têtes blondes ne résistent pas à l’envie de cliquer à chaque invite pour installer GRATUITEMENT la barre d’outil trucmuche, les smilies trop MDR et autres saloperies. Oui, vous avez gagné 1000 € ! Cliquez ici ! Non, pas vous… C’est un exemple.

D’ailleurs, je ne sais pas si vous avez remarqué mais les pourriels et autres pop up semblent disposer d’une intelligence propre, à base de cookies ou sans doute plus vicieux encore… Ainsi, les enfants sont inondés de cadeaux, peluches, fonds d’écran et smilies tandis que les adultes mâles reçoivent plus volontiers des listing de filles de l’est toutes plus craquantes les unes que les autres ou des kilos de Viagra ou le plus souvent le énième moyen d’accroître la taille du pénis. On a beau dire que l’outil ne vaut rien sans l’artisan, rien à faire : Le gang des « allongeurs » continue de sévir. En ce qui me concerne, à  moins de me l’enrouler sur l’oreille pour me déguiser en pompe à essence, je ne vois vraiment pas ce que je pourrais faire de ces centimètres supplémentaires. Hummm. Bon…

Je surfais donc gaiement, avec 23 fenêtres et onglets ouverts et au moins autant de logiciels en test (je suis un bidouilleur) me pensant bien à l’abri. Un peu fatigué, en plein éditing photo pour plusieurs bouclages, un fichier Skype qui traîne, je double clique imprudemment sur un magnifique .exe camouflé et ding dong : Avast se met à faire mugir la sirène et m’ouvre un tas de fenêtres avec une belle infection polymorphe et multiple. J’éradique, j’éradique… Ouf !

Sauf que, en voulant scanner le PC avec quelques outils, je reçois une magnifique impossibilité Win32 avec le conseil judicieux de « contacter mon administrateur » (mais c’est moi, crétin !!!) et quelques minutes plus tard, un petit son roublard (genre pioufff, pour jouer avec vos nerfs) écran bleu, et le PC reboote. Ça va, j’ai reconnu les symptômes : C’est Bagle ! Un rootkit particulièrement vicieux qui, à la manière des bombes à fragmentation, se sépare en différents agents viraux qui s’installent tout en téléchargeant un tas d’autres virus pour participer à la fête (ceux qu’a repéré et éradiqué Avast). Mais Bagle fait mieux : Il empêche la restauration système, coupe la connexion internet, désactive les antivirus et antimalwares installés, désactive le lecteur de CD, empêche le démarrage en « mode sans échec » (quelle blague aussi ce flegmon Microsoft, qui ne marche jamais quand on en a besoin…) et renait de ses cendres à chaque démarrage. En DOS, je tente de fixer le Master Boot Record, espère restaurer avec le fameux sfc /scannow et trifouille le démarrage avec mscongig, évidement sans succès… Bieeeeen. Nous voilà gros Jean comme devant. Résumons : impossible de booter sous Linux à partir d’un CD, impossible de lancer des utilitaires de diagnostic en mode « sans échec », impossible de faire un scan distant depuis internet, bref : Verrouillé dans son slip !

Ci dessous un aperçu de la bête en action réalisé par les finlandais du F-Secure Lab, qui montre bien la complexité du problème. Les « boîtes » sont les fonctions du ver. Celle du dessus s’exécute au démarrage. Le premier anneau représente toutes les fonctions appelées par le boot. Le second anneau, toutes les fonctions appelées par une des boites du premier anneau et ainsi de suite. Toutes les lignes montrent les appels d’une fonction à l’autre. Les boites rouges sont les codes du ver alors que les bleues appartiennent aux librairies API déjà installées sur le PC…

[media id=19 width=500 height=375]

Conseil pour les heureux possesseurs de PC sous Windows : Défoncer l’engin à la masse, le finir au pilon et courir acheter le dernier Mac. Il n’y a pratiquement pas de virus sur Mac… Ou alors, formater, réinstaller Windows et ne travailler qu’avec Notepad et MS Paint. C’est top et sans danger. Aaaah non, pas d’Internet. Et quoi encore ?

Bon, attaquons l’intrus… Première constatation : Avast est une passoire ! J’ai tourné pendant un an avec un Kaspersky, acheté au prix fort, mais dont l’interface est tellement explicite que c’en est un bonheur. Sans parler du ralentissement de la machine et des alertes intempestives. Et finalement plein de trous lui aussi. Je me contentais depuis d’Avast, libre et plutôt sympa. Et de Spybot pour les trojans. C’était trop « léger » !

Grâce à une autre machine connectée à l’Internet, je me renseigne et trouve une kyrielle d’outils pour éradiquer l’intrus en une procédure longue et douloureuse (comptez trois jours rivés à la machine…) et dont on trouve la description détaillée ici et ici. Inutile de dire qu’en impatient congénital j’ai fait autrement… L’occasion de découvrir quelques logiciels sympas à tester. Et d’adopter, en lieu et place des précédents, Antivir (qui trouve beaucoup de choses…) et Malwarebytes’ Anti-Malware (qui dispose d’une fonction scan rapide incomparablement plus véloce que SpyBot). L’excellent ComboFix que je connaissais déjà mais que le virus reconnait et désactive dès qu’on l’installe sur le bureau ! (L’astuce consiste à changer son nom…)

Egalement Bagle_Fix, FindyKill, SDFix, SmitfraudFix, Navilog, CleanAfterMe, ToolsCleaner2 et PureRa. Et bien sûr, l’incontournable HiJackThis… On consultera également avec profit une excellente page sur la prophylaxie… Des conseils de bon sens. A l’heure qu’il est, me voilà débarrassé des dernières scories de ce virus coriace qui m’a quand même donné du mal ! Heureusement qu’il y a des experts sur l’Internet…

Et vous ? Vous vous y prenez comment pour protéger votre ordinateur ? Je suis sûr que vous avez des histoires d’infection croustillantes à raconter… Le premier qui écrit « j’utilise un Mac » sera responsable de ma défenestration !

Publié le Oct 2, 2009

Voir le site pro ?

Tous les tableaux

Tous les articles

18 Commentaires

  1. Barbuzard

    Euh … Un virus? Je sais pas… J’utilise un Mac!!! 😀
    Sans dec c’est vrai le dernier windaube a réellement fini à la masse 😆

    Réponse
    • Francis Le Guen

      Caserne des pompiers du quartier de Sormiou : Nous informons les lecteurs du BloGuen que son auteur a réussi un saut de l’ange du deuxième étage. La chute ayant été amortie par les aiguilles de pin, ses jours ne sont pas en danger bien qu’il semble choqué, répétant sans arrêt : Bagueule, bagueule… Une enquête est ouverte pour connaître les causes de ce geste. La piste bretonne n’est pas exclue…

      Réponse
  2. Denis

    C’est idiot, à la maison, j’ai Norton, un peu cher, un peu lourding mais plutôt efficace.
    J’aime bien ton article.

    Réponse
    • Francis Le Guen

      Aah Norton ! J’ai eu mais j’y ai renoncé à cause de la lourdeur et de l’omniprésence des modules non souhaités. Je l’utilise en ligne parfois, pour un scan externe. Mais c’est loooong ! Le « petit » Antivir que je viens d’installer est plutôt rapide et perspicace : 23 alertes sur 3 disques que je pensais pourtant bien clean… 😥

      Réponse
  3. Catherine Blondel

    Bonjour Francis
    Attention SORTEZ LE PARACHUTE, j’ai croqué la Pomme et du coup refilée Windaube Vista à ma fille (et oui mère indigne !) Depuis 1 semaine lors de connexions sur MSN son ordi semble présenter les même symptômes : blue screen, please contact your administrator… blablabla (sauf que j’arrive à redémarrer en mode sans échec). Comme vous j’ai Avast et Spybot en tâche de fond (Kaspersky = passoire), donc je pensais être à l’abri !…Après une enième nuit à chercher des solutions, je découvre votre article avec soulagement. Donc vous dites que c’est ComboFix le remède mais en renommant le nom de l’application ? Désolée je suis un peu blonde 😆 et HijackThis du chinois pour moi… Merci pour vos lumières !
    Bonne journée – Kti

    Réponse
    • Francis Le Guen

      Chère Catherine, rassurez vous nous avons tous été blondes ! Par contre, votre fille a du en faire des âneries pour être punjie de la sorte. Vista… Passons 😆
      Si vous pouvez accéder au mode « 100 échecs » (!) ce n’est pas Bagle. Mon conseil : Télécharger CCleaner et faire un nettoyage (sans browsers ouverts) puis une vérification du registre et corriger TOUT ce qui se présente. Ensuite, désinstaller Avast et installer à la place Antivir. Scanner, éradiquez, c’est prêt !
      Si les symptômes persistent, passez un coup de MalwareBytes (à installer en plus de Spybot, si ce dernier n’est pas résident – Tea Timer – sinon le désinstaller avant).
      Si vraiment la fièvre est toujours là, passer à FindyKill en mode sans échec (c’est un peu long mais c’est bon !) Puis, renettoyage avec CCleaner et PuereRa (tout cocher sauf msconfig).
      ComboFix (renommé) en (avant) dernier recours. SmitFraudFix (mode sans échec) c’est l’artillerie lourde finale si besoin.
      Bon courage 🙄

      Réponse
  4. AnneP

    J’espère que tu habites au rez-de-chaussée… Je suis sous Linux avec Ubuntu. Je ne comprends même pas les mots utilisés pour décrire tes problèmes.

    Réponse
    • Francis Le Guen

      Pas beau de se moquer 😥

      Je sais bien qu’il n’y a pas de virus avec Linux. J’ai eu une partition dédiée avec lilo… Mais pour la 3D hein ? La 3D, à part Blender il y a quoi ? Et Blender, austère pépère… 😕

      Réponse
  5. Claire

    J’ai pas tout compris, mais vu mes connaissances dans le domaine c’est normal, la seule chose que je sais dire c’est: « ça marche plus…. » je vais finir par me faire interdire de PC sous peu…
    Ps les spam pour les filles sont bien différents: comment perdre 12 kg en 3 jours ou les astres sont venus nous faire une révélation extraordinaire juste pour vous…… Il doit y avoir spam vénusien et un autre de mars…:wink:

    Réponse
    • Francis Le Guen

      Oui et les PC, « ça marche plus » tout le temps 😉

      Intéressant ce dimorphisme sexuel des spams. Matière à thèse de sociologie…

      Réponse
  6. Anthony

    Quelle aventure ! Tu pourrais créer une nouvelle série du genre « les carnets de l’info » ! Euh… t’es en « Ça marche plus » quelle version toi ? Y’a la version 7 qui sort bientôt, non?
    Bon, moi je suis passé à AntiVir il y a quelques temps, après avoir eu Avast. Il me semble bien meilleur. Et sur une nouvelle machine, en général la première chose que je fais c’est désinstaller Norton, qui doit consommer plus que tous les logiciels 3D réunis !!!  😮

    Réponse
    • Francis Le Guen

      Je prend le pari de faire une émission télé d’informatique passionnante et drôle, pour le plus grand nombre. J’aimerais bien, d’ailleurs. Mais les télés sont trop frileuses en ce moment pour innover sur ce genre de concepts.

      Quand à Norton, ce n’est pas qu’il soit mauvais mais effectivement, c’est un killer de CPU !

      Réponse
  7. switcherdav

    Après avoir pas mal bourlingué sous Linux (Debian, Suze, ubuntu …) j’ai fini par endetter ma petite famille sur 3 générations pour acheter un mac ….. et c’est vrai que c’est un bonheur à utiliser
    PS : c’est mon premier post sur ce site que je découvre à l’occasion de mon retour dans le monde sous marin après 10 ans de surface et le site est aussi bon que les émissions carnets de plongée. Bravo

    Réponse
    • Francis Le Guen

      Bienvenue au blog, adepte de Linus Torswald ! Merci pour le compliment : Je fais ce que je peux avec mes petites pattes de devant…

      Comme tous nos nouveaux lecteurs, vous avez gagné la beta non fonctionelle et à peine bridée de Windows 7, en demo pendant deux heures (le temps du boot). Au delà de ce délai vous pourrez commander la version payante en remplissant ce formulaire de 9 pages, après avoir chargé les 28 active X nécessaires (9887 Mo). Soyez patient : Il se peut que notre serveur soit en maintenance… 😀

      Réponse
  8. La Blonde

    moi j’ai Avira Antivir et j’en suis plutôt contente ! j’ai abandonné les trucs lourds qui ralentissent la machine…

    Réponse
    • Francis Le Guen

      C’est ce que j’ai sur les PC… Mais je ne me sers plus que du Mac. Sans antivirus. What else ?

      Réponse
  9. Patrick

    Salut tous,

    J’ai bien aimé la punition avec WindOverDose Vista! Moi, je dirais: « Comme tu n’as fini pas ta soupe, je t’installe OpenSuse avec KDE4, au lieu de ton Ubuntu + Trinity. Si tu ne t’étais pas forcé à vomir, je t’aurais laissé le choix du gestionnaire de fenêtres en ajoutant Gnome3 »…

    Il fut un temps ou EscoGates regardait le Mac pour savoir comment faire, mais depuis l’incubation de Vista, il a décidé de faire tout seul: et Vista est né. Quelle catastrophe! Le plus abomifreux, c’est que le monde du libre semble s’inspirer de WindOverDose! D’où ces versions 4 de KDE et 3 de Gnome. Certains disent de ces projets qu’ils sont « ego driven » (conduit par l’ego du développeur, plutôt que par la nécessité de répondre au besoin du l’utilisateur)…

    Mac??? J’en ai eu un en 1986. Je l’aimais tellement que c’est devenu une sorte de danseuse… J’ai dû lâcher prise quand Apple a abandonné les processeurs de la famille Motorola… Mais qui se souvient?

    Réponse
    • Francis Le Guen

      Moi ! Moi ! Je suis passé au Mac il y a 2 ans sans regrets. Et puis, « ils » sont passés à Lion ! Et là… Heureusement que j’avais l’expérience du PC… Misère. Léopard était un système absolument parfait. Pourquoi changer ? Et ajouter des erreurs et incompatibilités ? Pour coller à la concurrence ?…
      Linux, j’ai un peu joué avec. Je l’ai d’ailleurs sur une partition… Just in case. geek ? Qui a dit geek ? 🙂

      Réponse

Soumettre un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *