Une nouvelle version du ver/virus Bagle transmet les adresses des PC infectés

Ces sites, au nombre de 141 pour cette version, pourront ainsi exploiter à distance l'ordinateur contaminé pour effectuer des envois de spam en massemasse. Rappelons que les fournisseurs d'accès pourraient bien être amenés à déconnecter les utilisateurs propageant des spams (souvent à leur insu), comme c'est prévu pour ceux qui utilisent le P2P à des fins de piratage. En tout cas on en parle de plus en plus.

Ce ver est également capable d'inactiver 250 applicationsapplications de sécurité (la plupart des antivirus et pare-feux). Ceci signifie que les ordinateurs atteints ne sont plus protégés. Ce comportement n'est pas propre à Bagle, mais il convient de le rappeler parce que la possession d'un antivirus et d'un pare-feupare-feu peuvent créer un sentiment de fausse sécurité chez l'utilisateur alors qu'ils ne fonctionnent plus. La propagation principale du ver se fait par mail, comme d'habitude, mais la pièce attachée qui constitue le ver peut être zippée. Dans ce cas le fichier zippé est crypté avec un code pour tenter d'empêcher son identification par un antivirus. Pour "libérer" le ver, l'utilisateur doit dézipper le fichier avec le code fourni dans le corps principal du message. Toutefois, pour éviter sa récupération par l'antivirus, ce code n'est pas présenté comme une suite de caractères, qui seraient très faciles à extraire, mais sous la forme d'une image. L'un ou l'autre des noms suivants est utilisé comme nom de la pièce jointe : Information, Details, text_document, Updates, Readme, Document, Info, Details, Message.

Il existe un mode secondaire de propagation qui se fait par P2P : le ver se recopie dans les dossiers dont le nom contient SHAR sous un nom attractif tel que :
Microsoft OfficeMicrosoft Office 2003 Crack, Working!.exe
Microsoft Windows XPMicrosoft Windows XP, WinXP Crack, working Keygen.exe
Microsoft Office XP working Crack, Keygen.exe
Serials.txt.exe
KAV 5.0
Kaspersky Antivirus 5.0
Porno pics arhive, xxx.exe
Windows Sourcecode update.doc.exe
Ahead Nero 7.exe
Windown LonghornLonghorn Beta Leak.exe
Opera 8 New!.exe
WinAmp 6 New!.exe
WinAmp 5 Pro Keygen Crack Update.exe
Adobe Photoshop 9 full.exe
Matrix 3 Revolution English Subtitles.exe
ACDSee 9.exe

Ces noms vont inciter les utilisateurs à télécharger ces fichiers piégés.

Comme d'habitude il convient de ne pas ouvrir de document attaché d'origine douteuse. Même si le mail semble avoir été envoyé par quequ'un que vous connaissez son contenu sera probablement très différent de ce que vous recevez habituellement de ce correspondant (en particulier il sera en anglais), ce qui pemet en général de reconnaître facilement ce type de message. Soyez très prudents lors de téléchargement par P2P. Soumettez tous les fichiers non ouverts à un antivirus à jour. Si vous pensez que vous avez ouvert par mégarde une pièce douteuse, la seule façon d'avoir un antivirus fonctionnel et capable d'éradiquer l'infection consiste à démarrer Windows en mode sans échec (touche F8) puis de lancer l'antivirus. Il est possible de doubler le contrôle en faisant scanner votre ordinateur par un antivirus en ligne. Les éditeurs d'antivirus mettent à disposition un petit utilitaire gratuit permettent d'éradiquer spécifiquement ce ver.

Cette variante est-elle le résultat de l'exploitation du code de Bagle qui a été diffusé sur InternetInternet récemment, ou bien vient-elle toujours des mêmes sources ? On sait seulement que les 141 sites récupérant les adresses IPadresses IP piratées sont allemands.