-
W32/Bagle-Q se propage par l'intermédiaire d'un courriel "porteur" qui ne contient pas le ver en pièce jointe.
-
Lorsque vous ouvrez un courriel "porteur", ce dernier tente d'exploiter une faille dans Outlook qui télécharge automatiquement W32/Bagle-Q du PC qui vous a envoyé le courriel "porteur".
-
Le courriel "porteur" télécharge et lance un script Visual Basic. Ce script télécharge W32/Bagle-Q via une requête HTTP (web) sur le port TCP 81 du PC de l'expéditeur.
-
La copie téléchargée de W32/Bagle-Q est placée dans votre dossier système avec le nom directs.exe
-
W32/Bagle-Q se charge sur votre PC et termine un grand nombre d'applications de sécurité
-
Dans le registre, une entrée est ajoutée à la clé suivante
HKLM\Software\Microsoft\Windows\CurrentVersion\Run de manière à ce que le programme directs.exe se charge chaque fois que vous ouvrez une session sur votre ordinateur.
-
W32/Bagle-Q fait plusieurs copies de lui-même dans les dossiers susceptibles de faire partie d'un réseau de partage de fichiers.
-
W32/Bagle-Q infecte les programmes sur votre PC en s'ajoutant dans les fichiers EXE existants (opération qui s'appelle "infection virale parasite").
Le danger de W32/Bagle-Q peut être réduit non seulement en mettant à jour Sophos Anti-Virus mais aussi en bloquant les connexions au port TCP 81 via votre pare-feu de réseau (il est peu probable que ce port soit nécessaire pour de véritables services).
Le blocage des connexions sortantes du port 81 empêche les ordinateurs de votre réseau de télécharger le ver depuis l'extérieur. Le blocage du port 81 en entrée signifie que, même si vous vous faites infecté, vous ne transmettrez pas le virus à d'autres.
Appliquez en outre les derniers correctifs Internet Explorer/Outlook Express de Microsoft. La faille utilisée par W32/Bagle-Q est décrite dans le bulletin de sécurité MS03-040 de Microsoft et est décrite comme "Object Tag vulnerability in Popup Window".
Source : K-OTik / Sophos