En savoir plus

Bizex relance les craintes sur la cybercriminalité Dossier Virus

Alors que les alertes relevées par les principaux éditeurs d'antivirus ne concernaient que peu le fameux ver Bagle au mois de février 2004 (voir notre article du 03/03/04), trois nouvelles versions dérivées du virus original et lancées ce week-end pourraient bien changer la donne. Il s'agit de Bagle.N, Bagle.O et Bagle.P.

Les dangers de ces nouvelles versions du ver - qui secoua l'année 2003 - tiennent dans leur capacité à traverser les défenses des anti-virus standards en protégeant par un mot de passe les pièces jointes infectées qu'ils embarquent avec eux, compliquant de ce fait les systèmes de protection. Alors que les anciennes éditions de ce ver utilisaient l'utilitaire de compression Winzip pour véhiculer le code malicieux, les nouvelles versions utilisent désormais Winrar pour se protéger.

Autre élément nouveau dans les versions N et O de Bagle, le mot de passe pour ouvrir le fichier n'est plus inclus dans le texte joint avec l'e-mail envoyé mais sous forme d'images, renforçant ainsi les défenses contre les moyens de détection usuels. A noter que les trois versions peuvent par ailleurs supprimer des entrées de registres pour prévenir l'exécution des variantes de Netsky (une guerre entre concepteurs de virus fait en effet rage en ce moment, rajoutant au grostesque de la situation).

Et pour compliquer davantage la tâche aux éditeurs d'antivirus, le ver se duplique et dépose son code dans des exécutables du disque dur de la victime, ce qui lui permet de réinfecter un système préalablement nettoyé si l'utilisateur relance un exécutable contaminé. Mieux, sa capacité à infecter un fichier s'étend désormais aux fichiers exécutables portables, facilitant par ce biais son intrusion sur tout système d'exploitation possible.

Par contre, l'objectif du ver reste identique. Il s'agit pour chaque ordinateur infecté d'ouvrir le port TCP 2556 et d'attendre en réponse une commande saisie par un utilisateur distant, mettant à disposition des pirates les ordinateurs infectés.

Bagle.P a commencé à se répandre pour l'instant majoritairement en Corée et au Japon. Il suit le même mode de propagation que ses petits frères, à savoir un e-mail contenant une pièce jointe, mais s'attaque en plus à tout nom de fichier ou de répertoire contenant le mot "shar". Il peut ainsi s'introduire dans les fichiers partagés ("shared folders" en anglais) d'un utilisateur et infecter à l'aide de son outil SMTP propre les contacts de l'ordinateur victime.

En savoir plus

Bizex relance les craintes sur la cybercriminalité Dossier Virus

Malgré la capacité du ver à générer des courriers toujours différents par l'objet, le destinataire ou le message, un élément permet de les identifier. Dans le cas de Bagle.N, le fichier en pièce jointe dispose d'une icône de police True Type et Bagle.O d'une icône WordPad.