Une nouvelle variante du ver de réseau ' Bagle ' à l'origine d'une épidémie mondiale

Une nouvelle variante du ver de réseau ' Bagle ' à l'origine d'une épidémie mondiale

Kaspersky Labs, concepteur de logiciels de sécurité informatique, signale l'apparition d'une nouvelle variante du ver de réseau ' I-Worm.Bagle ', à savoir ' I-Worm.Bagle.b '. Jusqu'à présent, quelques centaines de personnes à travers le monde entier ont signalé une infection via le courrier électronique.

Les estimations les plus optimistes chiffrent à plus de 20 000 le nombre de messages porteur de ' Bagle.b ' actuellement en circulation. Ce nombre ne devrait cesser d'augmenter. Bien que ces chiffres soient plus modestes que ceux du célèbre ver Mydoom.a, il convient de signaler que la variante précédente de ' Bagle ' (' Bagle.a ',) occupait la première place du classement des vers les plus répandus en 2004 avant d'être délogée par Mydoom.

Cette nouvelle variante de ' I-Worm.Bagle ' ressemble beaucoup à son prédécesseur au niveau fonctionnel. Le programme malicieux se propage via le courrier électronique en tant que pièce-jointe. Cette pièce-jointe est un fichier exécutable Windows de 11 Ko. L'objet du message est ' ID x: thanks ' et le corps, ' Yours ID x: Thank ' où x représente une succession aléatoire de caractères.

Une fois que le fichier a été exécuté, le ver se copie dans le répertoire système de Windows et modifie la clé de la base de registre qui gère les lancements automatiques. Afin de désorienter l'utilisateur, le ver provoque le démarrage de l'utilitaire Windows standard Sound Recorder (sndrec32.exe). Par la suite, Bagle.b tente d'établir une connexion avec quelques sites distants qui sont liés d'une manière ou d'une autre au cheval de Troie proxy TrojanProxy.Win32.Mitglieder. A l'heure actuelle, toutes les sources réseau pour le téléchargement de Mitglieder ont été neutralisées et ' I-Worm.Bagle ' ne peut plus utiliser cette technologie pour accélérer le rythme de sa diffusion.

Ceci étant dit, c'est la partie cheval de Troie du ver qui représente la plus grande menace pour l'ordinateur infecté. Elle ouvre en effet le port 8866 et surveille son activité. Les personnes mal intentionnées peuvent ainsi administrer l'ordinateur à distance. Ils peuvent notamment exécuter différentes commandes et télécharger des fichiers pour les consulter.

A l'instar de son prédécesseur, ' I-Worm.Bagle.b ' se multiplie selon une procédure traditionnelle pour ce type de programme malicieux. Il recherche dans le système de fichiers de l'ordinateur infecté tous les fichiers WAB, TXT, HTML et R1 avant d'envoyer sa copie à toutes les adresses électroniques contenues dans ces fichiers. Le ver utilise son propre serveur SMTP pour l'envoi du courrier. L'activité de ce programme malicieux est limitée dans le temps : le ver est programmé pour arrêter son auto-reproduction le 25 février 2004, ce qui laisse supposer qu'une nouvelle variante de Bagle fera son apparition après cette date.

La protection contre ce virus a été ajoutée à la base de données de Kaspersky® Anti-Virus. Vous trouverez une description plus détaillée de ce programme malicieux dans l'Encyclopédie Antivirale de Kaspersky Labs.

17.02.2004

Recommander cette page

Photos non contractuelles - © 1997 - 2014 Kaspersky Lab

Tous droits réservés. La meilleure des technologies en matière de prévention des cyber-risques.