Ayant déjà été
intercepté plus de 170 000 fois en seulement
quatre jours (selon MessageLabs), le virus Bagle (ou
Beagle) connait des débuts plutôt prometteurs.
Qualifié de "mass mailer", il se diffuse
en empruntant certaines des techniques de ses "illustres"
prédécesseurs Klez ou Sobig.
Embarquant son propre serveur SMTP, il exploite les
adresses de courrier électronique disponibles
sur les postes infectés (fichiers dont l'extension
est "wab", "htm", "html"
ou "txt"). Il tente également d'ouvrir
le port 6777 et d'installer un cheval de Troie, ce
qui constitue un danger potentiellement plus élevé
que la destruction de fichiers.
"Ce virus contient certaines
similitudes avec les grands virus apparus en 2003. Il
utilise le même système que Klez ou Sobig
pour collecter le plus d'adresses possibles sur la machine
infectée mais également sur le réseau
de l'entreprise et, comme Sobig, dispose d'une date
d'expiration fixée au 28 Janvier 2004",
explique Eugenio Correnti, directeur technique de F-Secure
France. Des versions additionnelles sont donc à
prévoir après cette date.
Outre son mode de propagation, le virus écoute
le port 6777 et tente d'installer le cheval de Troie
"Mitglieder.C". "Cela peut permettre
d'exécuter des commandes distantes, d'envoyer
des programmes sur la machine infectée ou de
la mettre à jour, ce qui est dangereux. Le
but est d'apporter quelque chose aux gens qui l'ont
créé : pour envoyer du spam ou pour
récupérer des informations et gagner
de l'argent frauduleusement", précise
Damase Tricart, chef de produit grand public et PME/PMI
chez Symantec.
Une fois installé, le dispositif envoie des
informations à environ 20 sites Web dont les
noms de domaines sont situés en Allemagne,
en Russie ou ont des terminaisons en .net et .org.
"Il n'y a pas de signature qui pourrait dire
qui a créé le virus et pourquoi. Nous
n'avons pas identifié la provenance du virus
pour l'instant", ajoute Damase Tricart.
Mais des questions se posent quant au degré
de finition de ce virus. En effet, la pièce
jointe au courriel (dont le sujet est "Hi ")
est un simple exécutable (.exe) non compressé
: "On a l'impression que le code n'a pas été
terminé. Les .exe sont en effet facilement
détectés par de simples règles
dans Outlook ou au niveau du serveur de messagerie
des entreprises... Cela dit, Bagle utilise le social
engineering car la pièce jointe correspond
à la calculatrice Windows, ce qui induit les
utilisateurs en erreur lorsqu'elle est activée",
conclut David Kopp, directeur du laboratoire de recherche
Europe de Trend Micro.
|