Une nouvelle variante du ver Bagle est apparue le 29 octobre. Le risque a été considéré au départ comme moyen, mais il semble que la propagation soit plus importante qu'on ne craignait initialement.

au sommaire


    Virus : une nouvelle variante du ver Bagle se répand activement

    Virus : une nouvelle variante du ver Bagle se répand activement

    Il règne un certain flou entre les divers éditeurs d'antivirus pour sa dénomination : Win32.Bagle.AQ (Computer Associates), Bagle.BC (Panda), WORM_BAGLE.AT (Trend Micro), Bagle.AT (F-Secure), W32/Bagle.AQ@mm (Norman), W32/Bagle.bb@mm (McAfee), W32/Bagle-AU (Sophos), W32.Beagle.AV@mm (Symantec). En outre Symantec décrit une variante Au et une variante AW apparues le même jour.

    Ce ver se reconnaît au fait que le corps du message contient uniquement le smiley :)) tandis que le sujet peut être :
    Re:
    Re: Hello
    Re: Hi
    Re: Thank you!
    Re: Thanks :)

    Le document attaché, qui est le ver lui-même peut être :
    Price
    price
    Joke

    avec l'une ou l'autre des extensions suivantes .com, .cpl, .exe, ou . scr

    Le comportement du ver est classique pour Bagle, à quelques détails près. Il s'envoie en massemasse par mail à partir de l'ordinateur infecté en semblant provenir éventuellement d'adresses familières pour le destinataire. Il installe une porte dérobéeporte dérobée et ouvre le port 81, ce qui permet éventuellement à un pirate de prendre le contrôle de l'ordinateur. Il inactive un nombre important d'antivirus et de pare-feux, y compris celui de Windows XPWindows XP. Vous êtes alors exposé sans protection à n'importe quelle autre infection.

    Curieusement il tente de charger un fichier nommé g.jpg à partir d'un liste interne assez importante de serveurs web. Mais ce fichier ne semble exister pour le moment sur aucun serveur de la liste.

    Enfin, comme dans d'autres versions il tente d'inactiver le ver NETSKY, au cas où celui-ci se trouverait sur l'ordinateur. Il s'agit d'un épisode d'une lutte désormais classique entre les deux auteurs (ou groupes d'auteurs) de ces vers.

    Bien entendu, si vous êtes infecté votre antivirus ne fonctionnera pas et cela signifie qu'il n'est probablement pas à jour. Un lien est donné ci-dessous vers un utilitaireutilitaire de désinfection gratuit.