Le nouveau Bagle provoque encore une épidémie

27 janv. 2005
Actualités Virus

Kaspersky Lab, éditeur de logiciels de sécurité informatique, annonce l'identification d'une nouvelle variante du ver Bagle - 'I-Worm.Bagle.ay'. Cette nouvelle variante se diffuse rapidement et a déjà provoqué une sérieuse épidémie.

Bagle.ay se diffuse par email accompagné d'une pièce jointe. Le ver est un fichier exécutable Windows dont la taille est 19 Ko. Il est attaché à des messages dont l'objet est aléatoire - ça peut être 'Delivery service mail, Delivery by mail, Registration is accepted, Is delivered mail, You are made active'. Le texte du message est 'Thanks for use of our software' ou 'Before use read the help'. Le nom du fichier attaché est également aléatoire - 'wsd01, viupd02, siupd02, guupd02, zupd02, upd02, Jol03'.



Le ver est activé lorsque l'utilisateur exécute la pièce jointe. Il envoie alors sa copie dans le répertoire système Windows et enregistre ce fichier dans la base de registre. Le ver tente également de désactiver les solutions de sécurité qui protègent l'ordinateur victime et le sous-réseau local. La machine victime devient alors vulnérable à toutes attaques par des programmes malicieux.

Bagle.ay utilise une méthode classique de propagation. Il scanne le système de fichiers de la victime pour collecter les adresses emails auxquelles il s'envoie. A noter toutefois qu'il ne s'envoie pas à des adresses ayant une connection quelconque avec l'industrie antivirus ou avec des éditeurs de logiciels importants. Cela explique le fait que les sociétés antivirus n'aient reçu que peu d'échantillons de cette nouvelle variante de Bagle. Le ver établit un lien direct avec les serveurs SMTP pour envoyer les messgaes infectés.

Afin de s'étendre le plus largement possible, le ver se propage à travers les réseaux P2P et les réseaux de ressources partagées. Il cherche des répertoires comportant la particule 'shar ' dans leur nom. Bagle.ay se place alors dans ces fichiers sous des noms qui ressemblent à des applications et utilitaires répandus.

La base Anti-Virus Kaspersky a été rapidement mise à jour et protège contre '' Bagle.ay'. Vous pouvez consulter une description plus détaillée en anglais sur l'encyclopédie virale de Kaspersky www.viruslist.com.

  PARTAGER