28/11/01
Badtrans.B,
le virus deux-en-un
Dossier: Virus,
l'actualité de la menace
Questions-réponses:
le
jargon des codes malicieux
Après les attaques virales de cet été
et de la rentrée signées Sircam et Nimda,
la météo du réseau donnait
l'impression
de flirter avec l'accalmie depuis quelques semaines.
Accalmie manifestement trompeuse puisqu'un nouveau venu
se démarque par son agressivité: Badtrans.B
(description
de McAfee/Avert). Un intrus qui combine un ver (plus
précisément un mass-mailer) et un cheval
de Troie. Et profite de failles déjà bien
connues.
Comme son nom le laisse supposer, Badtrans.B a eu un
grand frère, Badtrans.A, dont il semble assez
proche dans ses grands principes mais qu'il surpasse
toutefois en performances : selon MessageLabs, fournisseur
de services de sécurisation des courriers électroniques,
l'intrus a été repéré dans
près de 90 pays et sa vitesse de propagation
dépasse déjà celle de Sircam...
Sans surprise, Badtrans.B s'épanouit via le courrier
électronique dans des environnements Win32 -
entendez les plates-formes Windows. Et, comme d'habitude,
il s'active si l'utilisateur tente d'ouvrir la pièce
jointe. Mais cela n'explique pas que sa propagation
soit si rapide. A priori, elle devrait même être
plus lente car aucun message n'incite à ouvrir
le fichier attaché - sauf peut-être
le fait que celui-ci soit dans bien des cas un .MP3
suivi d'une double extension. Mais surtout, il peut
s'exécuter si le mail est prévisualisé
dans une version de Outlook qui présente une
vulnérabilité très connue, et pour
laquelle un fichier
correctif est disponible. On peut espérer
que ces patches ont bien été appliqués
dans les entreprises. En revanche, c'est inévitablement
moins le cas des utilisateurs grand public, ce qui explique
sans doute la propagation à grande échelle
de Badtrans.B.
A l'affût des mots de passe...
Une fois activé, l'intrus - un fichier compressé
d'une trentaine de kilo-octets - fait bon usage de ses
deux composants: le mass-mailer et le cheval de Troie.
Le premier s'occupe de répondre aux messages
qui n'ont pas été lus, bien entendu en
les infectant. Il semble aussi que Badtrans.B fouine
dans certains fichiers (extension *.HT* ou encore *.ASP)
pour y trouver des adresses. La pièce jointe
dans le message retourné aux correspondants presente
des noms très variables, avec deux extensions
(exemple : "info.doc.scr"). Pas seulement
des MP3, donc. Petite originalité relevée
par F-Secure: Badtrans.B, manifestement sûr de
ses capacités, prend soin de ne pas s'expédier
deux fois à un correspondant.
Quant à la partie cheval de Troie, elle se révèle
également efficace. Aussitôt activé,
Badtrans.B s'installe dans le répertoire système,
s'inscrit dans la base de registres et enfin sème
un petit fichier nommé KDLL.dll qui s'occupe
d'intercepter tout ce qui peut ressembler à un
mot de passe. A noter que ce cheval de Troie est déjà
connu des éditeurs d'anti-virus sous le nom "Trojan.PSW.Hooker".
Les éditeurs semblent cette fois d'accord sur
le degré de nocivité de Badtrans.B - ce
n'était pas vraiment le cas lors de la saga Sircam.
Assez facilement éradicable et finalement peu
nocif pour les documents sur les postes de travail,
Badtrans.B perturbe avant tout les serveurs de mails.
Dossier: Virus,
l'actualité de la menace
Questions-réponses:
le
jargon des codes malicieux
|