Rétro-scoop

Nouvelles du passé, compréhensions nouvelles :
Bagle.B, le retour du ver spammeur

Le virus-ver Bagle fait son retour avec la variante Bagle.B. Si les notifications d’infection demeurent encore faibles, la France arrive cependant en deuxième position parmi les pays les plus touchés. Les utilisateurs de Windows doivent rester vigilants.

Les éditeurs de logiciels antivirus alertent leurs clients sur la propagation rapide sur le net d’un nouveau virus-ver baptisé Bagle.B (alias Tanx.A). Il s’agit d’une variante de Bagle, le ver apparu en janvier dernier et qui transformait les machines contaminées en autant de relais pour envoyer des « spams », ces messages électroniques non sollicités à caractère commercial.

Découvert le 17 février, Bagle.B est passé du stade d’alerte « modérée » à celui de « critique » chez le finlandais F-Secure. Pour sa part, Symantec l’a laissé en niveau 3 sur son échelle de risque qui en compte 5. «L’ampleur de l’épidémie n’a rien à voir avec un Mydoom dont la propagation était encore exponentielle 12 heures après son apparition», tempère Damase Tricart, chef de produit chez Symantec France.

Un correctif est disponible dans notre rubrique « Télécharger ». 

Si des notifications d’infections ont été rapportées depuis la France, l’Allemagne et les États-Unis, elles demeurent en effet faibles. L’Hexagone arrive cependant en deuxième position des pays les plus touchés avec une vingtaine de machines infectées, selon Trend Micro contre 263 aux États-Unis.

Un « mass mailler » spammeur Bagle.B est un mass mailler des plus classiques. Il cible les machines équipées du système d’exploitation Windows. Les utilisateurs d’un OS GNU/Linux ou de MacOS sont donc à l’abri. Ce ver arrive via la messagerie internet sous la forme d’un e-mail, accompagné d’une pièce jointe contenant le virus. L’objet, en anglais, est de type : « ID / caractères variables / … thanks » avec un fichier exécutable (extension « .exe ») pesant 11,3 Ko.

En arrivant sur le système, Bagle.B s’exécute automatiquement même si l’utilisateur n’ouvre pas la pièce jointe. Il collecte alors toutes les adresses e-mails qu’il peut trouver dans les fichiers HTM, HTML, TXT et WAB.

Il se renvoie alors à toutes ses adresses grâce à son propre moteur d’envoi de courrier (protocole SMTP). Le ver se copie également sur le système afin d’être lancé en mémoire à chaque démarrage de la machine.

S’il ne détruit aucune donnée, il peut, comme tout mass mailer, saturer les réseaux. Mais à l’instar de Bagle, sa principale fonction est d’ouvrir une porte dérobée (« backdoor ») sur la machine infectée. Bagle.B ouvre ainsi le port TCP 8866 et envoie un message comportant des informations à propos de la machine infectée à différents sites internet, notamment en Allemagne.

Tant que la porte n’est pas close, la machine contaminée peut être exploitée en y plaçant, par exemple, un serveur « proxy », afin de l’utiliser comme relais pour envoyer des spams. «Nous pensons que, comme pour la famille Sobig, nous allons assister à l’apparition d’une famille Bagle, utilisée pour véhiculer du spam sur Internet», explique ainsi Eugenio Correnti, directeur technique de F-Secure France.

Enfin, Bagle.B est programmé pour cesser toute activité le 25 février prochain. D’autres variantes sont donc attendues. Comme à l’accoutumée, les éditeurs de logiciels antivirus recommandent à leurs clients de mettre à jour leur protection; des additifs sont d’ores et déjà disponibles.

Éradiquer Bagle.B, la nouvelle variante de Bagle :
Découverte le 17 février, une nouvelle variante du ver Bagle se répand sur le réseau des réseaux. Bagle.B, (w32.bagle.b@mm), aussi connu sous le nom de Tanx.a, récupère des adresses e-mail de machines infectées. Non destructif, Il s’expédie de lui-même à ces nouveaux destinataires, en utilisant son propre serveur d’expédition de courrier (SMTP). Il n’infecte que les PC équipés de Windows. Sa propagation devrait s’achever le 25 février 2004.

Mode de propagation

Bagle.B se transmet par courrier électronique, sous la forme d’une pièce jointe portant une extension .exe. Le sujet du message de courriers infectés commence par les lettres ID, suivi d‘une suite aléatoire de caractères et s’achève par le mot «Thanks».

Une fois la pièce jointe activée, Bagle.B crée le fichier « au.exe » dans le répertoire C:\Windows\System et ajoute la valeur de clé suivante dans la base de registres: HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run Au.exe = « C:\%System%\au.exe »

Ce ver récupère également des adresses e-mail dans les fichiers de types WAB, TXT, HTM et HTML. Il s‘expédie en utilisant son propre serveur SMTP à de nouveaux destinataires, exceptés ceux dont le nom de domaine est msn.com, microsoft.com, hotmail.com ou avp.com.

Il ouvre également le port 8866 sur les PC touchés. L’auteur du virus serait susceptible de contrôler à distance les machines infectées ou de les utiliser pour effectuer des attaques par déni de service.

Prévention et éradiction

Pour se prémunir de Bagle.B, la mise à jour de la table de signatures de son logiciel antivirus et l’installation d’un pare-feu devrait suffire.

En complément de leurs logiciels antivirus, les éditeurs proposent également des programmes spécifiques pour repérer et supprimer Bagle.B.

  • F-Secure Bagle.B removal tool (freeware) Éradiquer Bagle et Bagle.B
    Télécharger

  • McAfee Stinger (freeware) Se débarrasser de menaces virales actuelles dont Bagle.B. Télécharger

  • Symantec Outil de suppression de W32.Beagle@mm (freeware)
    Supprimer Bagle.B de machines infectées. Télécharger

  • Trend Micro Sysclean Package (freeware) Éradiquer les récents virus dont Bagle.B. Télécharger
  • Source ZD Net france

    Newsletter

    Abonnez-vous pour suivre nos actualités :