Alerte : nouvelle épidémie Bagle

Par 28 janvier 2005
Mots-clés : Smart city

Le spécialiste de la sécurité informatique Kaspersky Lab vient d'annoncer l'identification d'une nouvelle variante du ver Bagle : ''Bagle.ay'', qui se diffuse très rapidement et a déjà provoqué...

Le spécialiste de la sécurité informatique Kaspersky Lab vient d'annoncer l'identification d'une nouvelle variante du ver Bagle : " Bagle.ay ", qui se diffuse très rapidement et a déjà provoqué une sérieuse épidémie.
Bagle.ay se transmet par courrier électronique accompagné d'une pièce jointe . Le ver est un fichier exécutable Windows dont la taille est de 19 Ko. Il est attaché à des messages dont l'objet est aléatoire - "Delivery service mail", "Delivery by mail", "Registration is accepted", "Is delivered mail", "You are made active". Le texte du message est «Thanks for use of our software» ou «Before use read the help». Le nom du fichier attaché est également aléatoire - «wsd01, viupd02, siupd02, guupd02, zupd02, upd02, Jol03».

Le ver est activé lorsque l'utilisateur exécute la pièce jointe. Il envoie alors sa copie dans le répertoire système Windows et enregistre ce fichier dans la base de registre. Le ver tente également de désactiver les solutions de sécurité qui protègent l'ordinateur cible et le sous-réseau local. La machine victime devient alors vulnérable à toutes attaques par des programmes malicieux .

Bagle.ay utilise une méthode classique de propagation. Il scanne le système de fichiers de la victime pour collecter les adresses emails auxquelles il s'envoie. A noter toutefois qu'il ne s'envoie pas à des adresses ayant une connexion quelconque avec l'industrie antivirus ou avec des éditeurs de logiciels importants. Cela explique le fait que les sociétés antivirus n'aient reçu que peu d'échantillons de cette nouvelle variante de Bagle.
Afin de s'étendre le plus largement possible, le ver se propage à travers les réseaux P2P et les réseaux de ressources partagées. Il cherche des répertoires comportant la particule «shar » dans leur nom. Bagle.ay se place alors dans ces fichiers sous des noms qui ressemblent à des applications et utilitaires répandus.

(Atelier groupe BNP Paribas - 28/01/2005)

Mentions légales © L’Atelier BNP Paribas