|
| |
| SECURITE |
| Bagle. AQ fait du spam avec du vieux |
| Toujours les mêmes objectifs pour les virus, mais les recettes évoluent. Au programme : récupération de code distant, diffusion initiale massive et manœuvres pour éviter les pare feu.
(11/08/2004) |
|
Apparue lundi, la nouvelle variante s'est répandue rapidement et est considérée comme moyennement dangereuse. Bagle.AQ, à l'instar des versions précédentes, ouvre une porte de derrière sur le système de Microsoft (versions de Windows concernées : de 95 à XP) sur les ports 2480 (TCp et UDP), se copie par e-mail grâce à un serveur SMTP, et communique l'adresse IP de la machine infectée.
Le virus est partiellement contenu dans le fichier joint à l'e-mail (qui est ici sans objet) - qui peut d'ailleurs provenir d'une adresse usurpée. Dans le nom du fichier
et le corps du message, on peut lire "price" ou "new price". La pièce-jointe, une archive zip, contient un document html qui appelle l'exécution d'un cheval de Troie (au format .exe).
Mais la particularité de Bagle.AQ est d'inclure un code JavaScript qui déclenche le téléchargement d'un code malin supplémentaire permettant d'activer toutes les fonctionnalités du virus. Et, surprise, le JavaScript utilisé a été écrit il y a presque trois ans ! C'est seulement une fois cette opération effectuée que le programme tente d'infecter d'autres machines via le courrier électronique.
Bagle parviendrait à déjouer certains pare feu en transmettant ses requêtes par le biais d'Internet Explorer. Ainsi, les échanges mis en oeuvre par le cheval de Troie avec le réseau passent pour légitimes du point de vue des programmes de surveillance et de filtrage réseau. C'est déjà là une première mise à l'épreuve des promesses du service pack 2 pour Windows XP d'améliorer la sécurité en activant par défaut le firewall inclus dans le système.
| Un nouvel exemple de coopération entre codeurs et spammeurs |
La diffusion
très efficace du virus dans ses premières heures, qui lui a permis d'être rapidement classé parmi les menaces "moyennes", semble relever d'un dispositif d'expédition massive, méthode inhabituelle pour les virus. L'envoi à des listes d'e-mails fraîchement recueillis est, par contre, le quotidien des spammeurs, ce qui atteste de leur collaboration soutenue avec les codeurs de virus.
Malgré des divergences entre éditeurs d'antivirus sur le nommage des versions (de AC à AQ), tous donnent au nouveau Bagle un nom à deux lettres,
ce qui signifie que plus d'une trentaine de versions du virus ont été crées depuis
son apparition au
début de l'année, soit plus d'une par semaine en moyenne - rien que pour la famille Bagle.
|
|
|
 |
Accueil
Dossier 
