Le 15 juillet est apparue une dangereuse variante du ver Bagle baptisée Bagle.AF, ou Beagle.AB pour Symantec. L'objectif de ce ver n'est pas de nuire au fonctionnement de l'ordinateur (quoique son activité puisse le perturber, en particulier en le ralentissant ou en saturant sa connexion réseau), mais d'introduire une porte dérobée sur le système (backdoor), accessible par le port 1080 et d'envoyer l'adresse IP de l'ordinateur contaminé vers de nombreux sites pirates. Seuls les utilisateurs de Windows sont concernés.

au sommaire


    Une nouvelle version du ver/virus Bagle transmet les adresses des PC infectés

    Une nouvelle version du ver/virus Bagle transmet les adresses des PC infectés

    Ces sites, au nombre de 141 pour cette version, pourront ainsi exploiter à distance l'ordinateur contaminé pour effectuer des envois de spam en massemasse. Rappelons que les fournisseurs d'accès pourraient bien être amenés à déconnecter les utilisateurs propageant des spams (souvent à leur insu), comme c'est prévu pour ceux qui utilisent le P2P à des fins de piratage. En tout cas on en parle de plus en plus.

    Ce ver est également capable d'inactiver 250 applicationsapplications de sécurité (la plupart des antivirus et pare-feux). Ceci signifie que les ordinateurs atteints ne sont plus protégés. Ce comportement n'est pas propre à Bagle, mais il convient de le rappeler parce que la possession d'un antivirus et d'un pare-feupare-feu peuvent créer un sentiment de fausse sécurité chez l'utilisateur alors qu'ils ne fonctionnent plus. La propagation principale du ver se fait par mail, comme d'habitude, mais la pièce attachée qui constitue le ver peut être zippée. Dans ce cas le fichier zippé est crypté avec un code pour tenter d'empêcher son identification par un antivirus. Pour "libérer" le ver, l'utilisateur doit dézipper le fichier avec le code fourni dans le corps principal du message. Toutefois, pour éviter sa récupération par l'antivirus, ce code n'est pas présenté comme une suite de caractères, qui seraient très faciles à extraire, mais sous la forme d'une image. L'un ou l'autre des noms suivants est utilisé comme nom de la pièce jointe : Information, Details, text_document, Updates, Readme, Document, Info, Details, Message.

    Il existe un mode secondaire de propagation qui se fait par P2P : le ver se recopie dans les dossiers dont le nom contient SHAR sous un nom attractif tel que :
    Microsoft OfficeMicrosoft Office 2003 Crack, Working!.exe
    Microsoft Windows XPMicrosoft Windows XP, WinXP Crack, working Keygen.exe
    Microsoft Office XP working Crack, Keygen.exe
    Serials.txt.exe
    KAV 5.0
    Kaspersky Antivirus 5.0
    Porno pics arhive, xxx.exe
    Windows Sourcecode update.doc.exe
    Ahead Nero 7.exe
    Windown LonghornLonghorn Beta Leak.exe
    Opera 8 New!.exe
    WinAmp 6 New!.exe
    WinAmp 5 Pro Keygen Crack Update.exe
    Adobe Photoshop 9 full.exe
    Matrix 3 Revolution English Subtitles.exe
    ACDSee 9.exe

    Ces noms vont inciter les utilisateurs à télécharger ces fichiers piégés.

    Comme d'habitude il convient de ne pas ouvrir de document attaché d'origine douteuse. Même si le mail semble avoir été envoyé par quequ'un que vous connaissez son contenu sera probablement très différent de ce que vous recevez habituellement de ce correspondant (en particulier il sera en anglais), ce qui pemet en général de reconnaître facilement ce type de message. Soyez très prudents lors de téléchargement par P2P. Soumettez tous les fichiers non ouverts à un antivirus à jour. Si vous pensez que vous avez ouvert par mégarde une pièce douteuse, la seule façon d'avoir un antivirus fonctionnel et capable d'éradiquer l'infection consiste à démarrer Windows en mode sans échec (touche F8) puis de lancer l'antivirus. Il est possible de doubler le contrôle en faisant scanner votre ordinateur par un antivirus en ligne. Les éditeurs d'antivirus mettent à disposition un petit utilitaire gratuit permettent d'éradiquer spécifiquement ce ver.

    Cette variante est-elle le résultat de l'exploitation du code de Bagle qui a été diffusé sur InternetInternet récemment, ou bien vient-elle toujours des mêmes sources ? On sait seulement que les 141 sites récupérant les adresses IPadresses IP piratées sont allemands.