Le
virus Bagle terminera sa course le 28 janvier 2004
Apparu il y a seulement quatre jours, Bagle se fait remarquer par sa propagation rapide. Mais son manque de finition risque de précipiter une disparition pourtant prévue pour la fin du mois. (Jeudi
22 janvier 2004)
Ayant déjà été intercepté
plus de 170 000 fois en seulement quatre jours (selon MessageLabs), le virus Bagle
(ou Beagle) connait des débuts plutôt prometteurs. Qualifié
de "mass mailer", il se diffuse en empruntant certaines des techniques
de ses "illustres" prédécesseurs Klez ou Sobig.
Embarquant son propre serveur SMTP, il exploite les adresses de courrier électronique
disponibles sur les postes infectés (fichiers dont l'extension est "wab",
"htm", "html" ou "txt"). Il tente également
d'ouvrir le port 6777 et d'installer un cheval de Troie, ce qui constitue un danger
potentiellement plus élevé que la destruction de fichiers.
Une
durée de vie limitée "Ce virus contient certaines similitudes
avec les grands virus apparus en 2003. Il utilise le même système que Klez ou
Sobig pour collecter le plus d'adresses possibles sur la machine infectée mais
également sur le réseau de l'entreprise et, comme Sobig, dispose d'une date d'expiration
fixée au 28 Janvier 2004", explique Eugenio Correnti, directeur technique
de F-Secure France. Des versions additionnelles sont donc à prévoir
après cette date.
Outre son mode de propagation, le virus écoute le port 6777 et tente d'installer
le cheval de Troie "Mitglieder.C". "Cela peut permettre d'exécuter
des commandes distantes, d'envoyer des programmes sur la machine infectée
ou de la mettre à jour, ce qui est dangereux. Le but est d'apporter quelque chose
aux gens qui l'ont créé : pour envoyer du spam ou pour récupérer des informations
et gagner de l'argent frauduleusement", précise Damase Tricart, chef
de produit grand public et PME/PMI chez Symantec.
Un code bâclé
mais du social engineering en pièce jointe Une fois installé, le dispositif
envoie des informations à environ 20 sites Web dont les noms de domaines sont
situés en Allemagne, en Russie ou ont des terminaisons en .net et .org. "Il
n'y a pas de signature qui pourrait dire qui a créé le virus et
pourquoi. Nous n'avons pas identifié la provenance du virus pour l'instant",
ajoute Damase Tricart.
Mais des questions se posent quant au degré de finition de ce virus. En
effet, la pièce jointe au courriel (dont le sujet est "Hi ")
est un simple exécutable (.exe) non compressé : "On a l'impression
que le code n'a pas été terminé. Les .exe sont en effet facilement
détectés par de simples règles dans Outlook ou au niveau
du serveur de messagerie des entreprises... Cela dit, Bagle utilise le social
engineering car la pièce jointe correspond à la calculatrice
Windows, ce qui induit les utilisateurs en erreur lorsqu'elle est activée",
conclut David Kopp, directeur du laboratoire de recherche Europe de Trend Micro.
[