Virus: Bagle revient en force, pour son anniversaire

ochicheportiche,

Les nouvelles versions du ver se diffuseraient rapidement. Happy Birthday…

Repérées par la plupart des éditeurs de sécurité, les énièmes variantes de Bagle (Bagle.AY chez Kaspersky, Bagle.BJ chez McAfee) se propagent actuellement sur les réseaux. Ces nouvelles versions apparaissent un an après la diffusion du premier Bagle, un des vers les plus virulents de 2004.

Comme de coutume, Bagle se transmet via les messageries (mass-mailer). Il est accompagné d’une pièce jointe: un fichier exécutable Windows dont la taille est de 19 Ko. Il est attaché à des messages dont l’objet est aléatoire: «Delivery service mail, Delivery by mail, Registration is accepted, Is delivered mail, You are made active ». Le texte du message est «Thanks for use of our software» ou «Before use read the help». Le nom du fichier attaché est également aléatoire – «wsd01, viupd02, siupd02, guupd02, zupd02, upd02, Jol03». Une fois exécuté, le ver envoie alors sa copie dans le répertoire système Windows et enregistre ce fichier dans la base de registre. Il ouvre alors le port 2339 afin d’offrir le poste infecté aux attaques distantes. Il tente ensuite de désactiver les solutions de sécurité qui protègent l’ordinateur victime et le sous-réseau local. La machine victime devient alors vulnérable à toutes attaques par des programmes malicieux. Pour se propager, Bagle scanne le système de fichiers de la victime pour collecter les adresses e-mails auxquelles il s’envoie. A noter toutefois qu’il ne s’envoie pas à des adresses ayant une connexion quelconque avec l’industrie antivirus ni avec des éditeurs de logiciels importants. Cela explique que les sociétés antivirus n’aient reçu que peu d’échantillons de cette nouvelle variante de Bagle. Le ver établit un lien direct avec les serveurs SMTP pour envoyer les messages infectés. Et pour inonder plus rapidement les réseaux, le ver se propage à travers les réseaux P2P et les réseaux de ressources partagées. Il cherche des répertoires comportant la particule «shar » dans leur nom. Bagle se place alors dans ces fichiers sous des noms qui ressemblent à des applications et utilitaires répandus.