Rétro-scoop

Nouvelles du passé, compréhensions nouvelles :
Le code source de Bagle publié par son auteur

Depuis quelques jours, le code original du virus-ver « se propage » sur internet. Les experts en sécurité craignent l’émergence de nouvelles variantes. Mais cette publication pourrait faciliter l’identification de son auteur. Le code source de la version originale du ver Bagle a été publié sur le net dimanche 4 juillet. Alors que deux nouvelles variantes du virus ont également vu le jour ce week-end, les experts en sécurité s’inquiètent du danger potentiel que représente cette initiative.

«Je suis convaincu que cela va entraîner une nouvelle génération de variantes de Bagle», prédit à notre rédaction britannique, Mikko Hyppönen, directeur de recherche antivirus chez l’éditeur F-Secure. Pour mémoire, vingt-cinq dérivés de Bagle ont été créés depuis la propagation du ver original en janvier dernier.

Richard Starnes, vice-président du centre d’alerte britannique Information Systems Security Association (ISSA), confirme également le «danger» que représente la diffusion de ce code, mais indique par ailleurs qu’il recèle des indices susceptibles d’aider à retrouver son auteur. À commencer par des commentaires intégrés au code lui-même: «Il ne s’agit pas véritablement d' »empreintes digitales », mais cela pourra aider», indique-t-il.

Un ver écrit en langage assembleur par un programmeur expérimenté

Mikko Hyppönen partage cet avis et note que le code est totalement écrit en langage assembleur; ce qui est peu courant et indique que son auteur est un véritable programmeur et pas un simple bidouilleur (script kiddie). «La plupart des vers transitant par e-mails sont écrits en C, ou du moins pour une partie en C, et l’autre en assembleur. Il n’y a aujourd’hui plus beaucoup de programmeurs maîtrisant totalement l’assembleur,  ce virus est donc l’oeuvre d’un programmeur expérimenté.»

Si le ver Bagle présente un haut niveau technique, ses variantes, basées surtout sur de l’ajout de code plus que sur la modification de l’original, sont moins évoluées, précise-t-il. Il prévoit donc des semaines très actives pour les administrateurs réseaux. 

Rappelons que ces virus-vers ne sont pas inoffensifs. Se propageant via des e-mails dotés d’une pièce jointe piégée, ils exploitent principalement des vulnérabilités d’Internet Explorer. Une fois une machine infectée, ces virus se renvoient vers des adresses trouvées sur le système via leur propre moteur SMTP.

Leurs actions sont variables, mais le principe est d’ouvrir une porte dérobée pour permettre l’exécution de code à distance sur les ordinateurs contaminés, afin d’en prendre le contrôle, de s’en servir comme relais pour envoyer des spams, ou encore de lancer des attaques par déni de service. Toutefois, la famille Bagle cible les machines équipées du système d’exploitation Windows. Les utilisateurs d’un OS GNU/Linux ou de Mac OS sont donc à l’abri.

Pour s’en prémunir, il faut, outre l’installation des patchs de Microsoft, mettre à jour la base de signatures de son programme antivirus, et scanner son système, rappellent les principaux éditeurs.

Source ZD Net News

Newsletter

Abonnez-vous pour suivre nos actualités :