Une variante de Bagle se propage rapidement sur Internet

Le nouveau Bagle, qui se diffuse par fichier joint au courriel et dans les réseaux P2P, représente un risque modéré selon Symantec, l'éditeur des produits Norton.

La firme de sécurité Sophos indique que le ver informatique Bagle.AU, connu chez d'autres éditeurs d'antivirus sous les noms Bagle.AT et Beagle.AW, se diffuse rapidement sur Internet en s'annexant à des courriels qui affichent des objets tels que «Re: Hello» et «Re: Thank you!». Comme c'était le cas dans d'autres versions du même asticot, la pièce jointe contaminée porte le nom «Joke» ou «Price» (extensions EXE, SCR, COM ou CPL) et le corps du message ne contient qu'un sourire du type «:)».

Si le fichier joint est exécuté, le nouveau Bagle s'installe, tente d'arrêter les logiciels antivirus puis se duplique vers les adresses de courriel trouvées localement. Il ouvre également une porte dérobée par le port 81, ce qui permet aux pirates d'exécuter à distance le programme de leur choix sur les PC infectés.

La bestiole, qui est programmée pour se désactiver d'elle-même le 25 avril 2006, s'installe aussi sous plusieurs noms dans les dossiers partagés des logiciels d'échange de fichiers. On notera au passage que le logiciel antivirus de Sophos serait en mesure de détecter cette variante de Bagle sans mise à jour, grâce à un profil général du ver informatique qui a été établi le 22 septembre dernier. Ce n'est toutefois pas le cas chez d'autres éditeurs, notamment Symantec et F-Secure, qui ont dû publier immédiatement une mise à jour pour permettre la reconnaissance de cette nouvelle mouture de la bestiole.

Envoyer à un(e) ami(e)

Texte rédigé par : Jean-Charles Condo
Publié dans BRANCHEZ-VOUS! le 29 octobre 2004
Vous voulez réagir à cette actualité? Faites-le maintenant dans notre forum Internet