Bagle-AQ, nouvelle offensive ‘originale’ du ver

Blade-AQ, BladeDI-A ou Glieder-H, trois noms pour un même ver ?

trojan ou cheval de Troie- qui se répand par mass mailing (envoie en masse d’un e-mail spammé et vérolé) et ne fait une nouvelle fois de victime que chez les internautes dont le système d’exploitation Windows n’est pas à jour. Bagle-AQ présente cependant quelques différences, en particulier sur les modes d’infection, qui l’éloignent de la lignée des vers Bagle pour le rapprocher du plus récent Download.Ject. L’expression ‘foto‘ est la seule qui figure dans l’objet et le corps de l’e-mail vérolé. L’ouverture du fichier attaché ‘foto.zip‘ contient un fichier html et un exécutable ‘foro1.exe‘. Cet exécutable est un ‘dropper‘, c’est-à-dire qu’une fois activé, il cherche à détruire les fichiers DLL qui permettent de mettre à jour les composants de certains logiciels antivirus. Jusque là, rien que du classique ! Mais Bagle-AQ va plus loin? Sur le poste vérolé, il tente toutes les six heures de mettre à jour un ‘payload‘ sur l’un des 130 sites Web dont l’adresse figure dans le code du ver. Ce ‘payload‘ dispose de son propre moteur SMTP pour envoyer un ver en mass mailing. Et si cela ne suffisait pas, le programme active un ‘serveur zombie’ en ouvrant des backdoors (accès malveillants) sur les ports 80 TCP et UDP, afin de relayer des e-mails spammés et vérolés, et d’étendre la contagion. Bagle-AQ présente donc une menace sérieuse, mais limitée, qui ne s’attaque qu’aux postes Windows dont l’environnement n’est pas à jour.