De nouvelles versions de Bagle se diffusent rapidement

Par Samuel Hassine le Vendredi 28 Janvier 2005 à 17:50:39

Après de nombreuses variantes de Bagle, l'un des vers les plus virulents de l'année 2004, quelques unes de ces versions reviennent en force selon les éditeurs de logiciel anti-virus.
Un an après l'apparition du premier Bagle, ces nouvelles versions se propagent à grande vitesse sur le réseau des réseaux.

Bagle se transmet via le système de courrier électronique en envoyant automatiquement des messages à partir de la machine qu'il vient d'infecter. En effet, le virus, un fichier exécutable Windows de 19ko, se situe dans la pièce jointe de messages dont l'objet est aléatoire : "Delivery service mail, Delivery by mail, Registration is accepted, Is delivered mail, You are made active..."
Le texte du message est le plus souvent "Thanks for use of our software" ou "Before use read the help". Le nom du fichier attaché est également aléatoire : "wsd01, viupd02, siupd02, guupd02, zupd02, upd02, Jol03".

Ce ver, une fois sur l'ordinateur, se réplique sur le répertoire système de Windows et s'enregistre dans la base de registre. Il ouvre ensuite le port 2339 permettant à un attaquant distant de nuire au système et aux données du disque dur. Le programme tente ensuite de désactiver les appliances de sécurité, les anti-virus, les firewalls protégeant l'ordinateur victime. Le système est ensuite encore plus vulnérable à toutes autres attaques.

Comme dit précédemment, Bagle, pour se propager, collecte les différentes adresses emails présentes dans le carnet d'adresse de l'utilisateur et s'auto-envoie sur celles-ci. Il est tout de même important de savoir que le virus parvient à détecter les adresses de messagerie en relation avec les firmes anti-virus et ne s'envoie pas sur celles-ci.

Bagle se propage également à travers les réseaux Peer-to-peer. Il cherche des répertoires comportant la particule "shar" dans leur nom. Il prend ensuite l'apparence d'applications ou d'utilitaires populaires.