Le virus Bagle/Beagle terminera sa course le 28 janvier 2004
|
Ayant déjà été intercepté plus de 170 000 fois en seulement quatre jours (selon MessageLabs), le virus Bagle (ou Beagle) connait des débuts plutôt prometteurs. Qualifié de "mass mailer", il se diffuse en empruntant certaines des techniques de ses "illustres" prédécesseurs Klez ou Sobig.
Embarquant son propre serveur SMTP, il exploite les adresses de courrier électronique disponibles sur les postes infectés (fichiers dont l'extension est "wab", "htm", "html" ou "txt"). Il tente également d'ouvrir le port 6777 et d'installer un cheval de Troie, ce qui constitue un danger potentiellement plus élevé que la destruction de fichiers.
|
|
Une durée de vie limitée - "Ce virus contient certaines similitudes avec les grands virus apparus en 2003. Il utilise le même système que Klez ou Sobig pour collecter le plus d'adresses possibles sur la machine infectée mais également sur le réseau de l'entreprise et, comme Sobig, dispose d'une date d'expiration fixée au 28 Janvier 2004", explique Eugenio Correnti, directeur technique de F-Secure France. Des versions additionnelles sont donc à prévoir après cette date.
Outre son mode de propagation, le virus écoute le port 6777 et tente d'installer le cheval de Troie "Mitglieder.C". "Cela peut permettre d'exécuter des commandes distantes, d'envoyer des programmes sur la machine infectée ou de la mettre à jour, ce qui est dangereux. Le but est d'apporter quelque chose aux gens qui l'ont créé : pour envoyer du spam ou pour récupérer des informations et gagner de l'argent frauduleusement", précise Damase Tricart, chef de produit grand public et PME/PMI chez Symantec.
Un code bâclé mais du social engineering en pièce jointe - Une fois installé, le dispositif envoie des informations à environ 20 sites Web dont les noms de domaines sont situés en Allemagne, en Russie ou ont des terminaisons en .net et .org. "Il n'y a pas de signature qui pourrait dire qui a créé le virus et pourquoi. Nous n'avons pas identifié la provenance du virus pour l'instant", ajoute Damase Tricart.
Mais des questions se posent quant au degré de finition de ce virus. En effet, la pièce jointe au courriel (dont le sujet est "Hi ") est un simple exécutable (.exe) non compressé : "On a l'impression que le code n'a pas été terminé. Les .exe sont en effet facilement détectés par de simples règles dans Outlook ou au niveau du serveur de messagerie des entreprises... Cela dit, Bagle utilise le social engineering car la pièce jointe correspond à la calculatrice Windows, ce qui induit les utilisateurs en erreur lorsqu'elle est activée", conclut David Kopp, directeur du laboratoire de recherche Europe de TrendMicro.
» A Voir - Bagle.A (Détails Techniques)
Source : JournalduNet (Par Fabrice Deblock)
|