Alors que les alertes relevées par les principaux éditeurs d'antivirus ne concernaient
que peu le fameux ver Bagle au mois de février 2004 (voir
notre article du 03/03/04), trois nouvelles versions dérivées du virus
original et lancées ce week-end pourraient bien changer la donne. Il s'agit de
Bagle.N, Bagle.O et Bagle.P.
Les dangers de ces nouvelles versions du ver - qui secoua l'année 2003 - tiennent
dans leur capacité à traverser les défenses des anti-virus standards en protégeant
par un mot de passe les pièces jointes infectées qu'ils embarquent avec eux, compliquant
de ce fait les systèmes de protection. Alors que les anciennes éditions de ce
ver utilisaient l'utilitaire de compression Winzip pour véhiculer le code malicieux,
les nouvelles versions utilisent désormais Winrar pour se protéger.
Autre
élément nouveau dans les versions N et O de Bagle, le mot de passe pour ouvrir
le fichier n'est plus inclus dans le texte joint avec l'e-mail envoyé mais sous
forme d'images, renforçant ainsi les défenses contre les moyens de détection
usuels. A noter que les trois versions peuvent par ailleurs supprimer des entrées
de registres pour prévenir l'exécution des variantes de Netsky (une guerre entre
concepteurs de virus fait en effet rage en ce moment, rajoutant au grostesque
de la situation).
Bagle.P
vise les documents partagés |
Et pour compliquer davantage la tâche aux éditeurs d'antivirus, le ver se duplique
et dépose son code dans des exécutables du disque dur de la victime, ce qui lui
permet de réinfecter un système préalablement nettoyé si l'utilisateur relance
un exécutable contaminé. Mieux, sa capacité à infecter un fichier s'étend désormais
aux fichiers exécutables portables, facilitant par ce biais son intrusion sur
tout système d'exploitation possible.
Par contre, l'objectif du ver reste identique. Il s'agit pour chaque ordinateur
infecté d'ouvrir le port TCP 2556 et d'attendre en réponse une commande saisie
par un utilisateur distant, mettant à disposition des pirates les ordinateurs
infectés.
Bagle.P a commencé à se répandre pour l'instant majoritairement en Corée et
au Japon. Il suit le même mode de propagation que ses petits frères, à savoir
un e-mail contenant une pièce jointe, mais s'attaque en plus à tout nom de fichier
ou de répertoire contenant le mot "shar". Il peut ainsi s'introduire dans les
fichiers partagés ("shared folders" en anglais) d'un utilisateur
et infecter à l'aide de son outil SMTP propre les contacts de l'ordinateur victime.
Malgré la capacité du ver à générer des courriers toujours différents par l'objet,
le destinataire ou le message, un élément permet de les identifier. Dans le cas
de Bagle.N, le fichier en pièce jointe dispose d'une icône de police True Type
et Bagle.O d'une icône WordPad.
|