Alerte aux virus Bagle A. et Mmdload: vicieux!

Ce début de semaine se caractérise par une forte actualité des attaques virales.

Bagle.A se lance ce lundi 19 janvier dans une attaque d’envergure. Propulsé en ‘mass mailing’, diffusion de masse par e-mails non ciblés, il se présente sous la forme d’un e-mail dont le sujet est ‘Hi‘ et le message ‘Test« . Derrière cet email anodin qui ‘spoof‘ son adresse, c’est-à-dire qu’il sait camoufler son adresse d’origine, se cache un fichier attaché en .exe, capable de se copier lui-même dans le répertoire Windows System, sous une identité cachée bbeagle.exe, et qui utilise l’icône calc.exe. En clair, le ver falsifie le champ « Expéditeur » dans les e-mails qu’il envoie, ce qui signifie qu’il peut sembler provenir de quelqu’un que vous connaissez, et il s’installe et se gère seul! Particulièrement vicieux, Bagle.A attend son heure ! Bagle.A altère les clés de registre de Windows et tente de se diffuser lui même en fichier attaché en se connectant aux sites Web distants. De même, il veille sur les ouverture de ports TCP, en particulier sur le port 6667, afin de se diffuser plus facilement. Enfin, il cherche à télécharger le cheval de Troie (trojan) Mitglieder. Bagle.A est l’archétype du développement actuel des technologies virales: insidieuses, autonomes, sachant se cacher, et déployant plusieurs stratégies afin de véroler le poste sur lequel elles s’installent, tout en menaçant le reste du monde en ligne. Selon F-Secure, la propagation de Bagle A. est telle qu’il s’agirait de la première épidémie d’envergure pour 2004. De son côté, Mmdload, repéré par Sophos, confirme la tendance des vers dont l’objectif est de détourner de l’argent. Mmdload est contenu dans la pièce jointe zippée d’un e-mail dont la ligne « objet » et le texte sont exactement identiques à ceux du récent ver Mimail-N. Le message offre au destinataire la possibilité de gagner une somme d’argent qui sera directement versée sur son compte bancaire, à condition qu’il remplisse un questionnaire lui réclamant des informations financières confidentielles. Site Web russe et synergie avec Mimail Lorsque la pièce jointe est dézippée et le fichier qu’elle contient (PAYPAL.exe) exécuté par le destinataire, le cheval de Troie tente de contacter un site Web russe (Oh surprise!), www.aquarium-fish.ru, pour y télécharger une copie de Mimail-N. Ce dernier peut donc ainsi contourner les protections mises en place au niveau de la passerelle de messagerie. C’est à ce même site que Mimail tente d’envoyer les formulaires Paypal remplis. « Les auteurs de ces programmes savent bien que tous les destinataires du message ne seront pas des clients du service Paypal. Mais, comme les ‘spammeurs’, il leur suffit que quelques-uns tombent dans le piège pour pouvoir vider leur compte bancaire. », explique Annie Gay, directeur général de Sophos France. La ‘sale bête’ a tendance à se propager rapidement. Les multiples rapports reçus par Sophos suggèrent que l’e-mail portant ce virus a probablement utilisé des techniques de spamming pour accélérer sa propagation.