Virus: propagation inquiétante de Bagle

ochicheportiche,

Les éditeurs de logiciels de sécurité s’alarment: les variantes du ver se multiplient tandis que NetSky et Mydoom repasseraient à l’attaque

L’été sera-t-il chaud sur le front des virus? Les éditeurs de logiciels sécurité tirent la sonnette d’alarme. Constatant la multiplication des attaques depuis quelques jours, McAfee et Computer Associates ont tous deux décidé de relever leur niveau d’alerte concernant les virus informatiques de type « ver ».

« Avec cinq variantes de Bagle en six jours, plusieurs nouvelles techniques et la réémergence de Mydoom, l’internet vit dans un environnement de menace intense », a indiqué Sam Curry, spécialiste de la sécurité chez Computer Associates (CA). En effet, depuis la publication du code source de Bagle (voir notre article), les pirates s’en donnent à coeur joie. Nous évoquions ici Bagle.AF qui diffuse les adresses des PC infectés à 140 sites. « Le nombre de variantes rencontrées par des usagers (d’internet) à la maison ou au travail progresse de manière alarmante », selon CA. Le dernier Bagle repéré (la variante AI chez McAfee) est comme à son habitude un mass-mailer qui arrive sous la forme d’un document .ZIP accessible avec un mot de passe. Le mot de passe figure généralement dans le corps du message. Il faut donc se méfier et supprimer les e-mails contenant des expressions comme « foto3 and MP3 », « fotoinfo », « lovely animals », « predators » ou encore « The snake ». Son objectif est de transformer le PC infecté en machine « zombie » afin de le transformer en relais à spam. Les éditeurs évoquent également la probabilité croissante de l’apparition d’« une nouvelle variante du ver NetSky ». En effet, NetSky.B. se cache derrière un email à l’objet anodin, « something for you », « fake » ou « hello ». Le ver est contenu dans un fichier zippé attaché au courrier, dont le nom varie, « document », « party » ou « stuff », et dont l’extension peut être « .exe », « .pif » ou « .scr ». Une fois installé, NetSky tente de désactiver l’anti-virus présent sur le poste infecté, il s’attribue furtivement les adresses emails de la messagerie et se copie. S’ils souhaitent faire peur aux utilisateurs (et les pousser à acheter leurs produits), McAfee et consort ont réussi leur coup. Il faut néanmoins garder à l’esprit que ces attaques sont classiques et ce type de ver est facilement repérable. Notamment ceux contenant des messages anglais et des fichiers joints aux noms évocateurs…