Rétro-scoop

Nouvelles du passé, compréhensions nouvelles :
Nouvelles mutations inquiétantes des virus Bagle et Nestky

Jusqu’à présent, les variantes de ces virus-vers misaient sur la négligence des internautes. Elles exploitent désormais des failles d’Internet Explorer. Les experts s’alarment et recommandent aux entreprises de mettre à jour rapidement leurs systèmes. L’évolution technique des deux plus importants virus informatiques du moment, Bagle et Nestky, inquiète les experts en sécurité, qui y voient une nouvelle preuve des compétences de leurs programmeurs respectifs.

Le Cert-IST, un centre français de veille informatique réservé aux grandes entreprises (lire ses derniers avis de sécurité), a observé comme beaucoup d’experts que les dernières variantes de ces vers, surtout Bagle version Q, ainsi que Netsky P et Q, ne misent plus sur la simple négligence des utilisateurs, comme cela était le cas de leurs premières versions.

«Ces variantes présentaient jusqu’ici des caractéristiques techniques en perpétuelle évolution, mais toujours basées sur la technique dite « d’ingénierie sociale », c’est-à-dire que le virus utilise un message qui par son titre, le contexte, ou la source émettrice, incite l’utilisateur à collaborer et ouvrir volontairement la pièce jointe», note le Cert-IST dans une adressée à la presse.

«Un pas supplémentaire avait été franchi en mars, lorsque la pièce jointe a commencé à être cryptée, le mot de passe étant fourni dans le texte du message, puis en image jointe, techniques qui mettaient en difficulté les filtres antivirus des passerelles de messagerie».

Ces virus s’activent sans ouverture de la pièce jointe piégée

Dernière évolution en date avec Netsky P et Q, et Bagle Q: ces deux familles de virus exploitent dorénavant des failles de sécurité d’Internet Explorer ne misant plus ainsi sur le manque de précaution des internautes. Un système qui avait été à l’origine des grandes épidémies telles que Nimda, Swen, Bugbear, ou encore Blaster – dont Bagle et Netsky sont en train d’emprunter la même voie.

Concrètement, Netsky P et Q arrivent sur le système sous la forme d’un message électronique avec le virus dissimulé dans la pièce jointe. Pour le contaminer, ils exploitent une vieille faille d’Internet Explorer (5.01 et 5.5) découverte et corrigée depuis 2001. Cette faille permet l’exécution automatique d’une pièce jointe d’un e-mail en lisant simplement celui-ci ou en le prévisualisant.

Côté Bagle.Q, qui transite également via des e-mails dotés d’une pièce jointe piégée, il exploite cette fois une vulnérabilité découverte et corrigée depuis en octobre 2003 au niveau d’Internet Explorer (5.01, 5.5, 6.0); elle permet l’éxecution de code à distance via le navigateur de Microsoft.

Dans les trois cas, une fois la machine infectée, ces virus se renvoient vers des adresses trouvées sur le système via leur propre moteur SMTP. Leurs actions nocives sont variables: Bagle Q ouvre une porte dérobée sur le système et bloque des antivirus; Netsky P efface des données système; et Netsky Q est programmé pour lancer des attaques par déni de service contre des sites web, entre le 8 et 11 avril.

Pour s’en préminir, il faut, outre l’installation des patchs de Microsoft, mettre à jour la base de signatures de son programme antivirus, scanner son système, rappellent les principaux éditeurs de logiciels antivirus.

«Les auteurs des familles Bagle et Netsky ont désormais gagné en compétences et leur capacité de nuisance est passé à un niveau supérieur», confirme à ZDNet Marc Blanchard, responsable du laboratoire antivirus européen de l’éditeur Kaspersky. «Pour autant, il ne s’agit pas d’innovateurs. Ils ne font que du simple copier-coller de technologies existantes.»

Encore des retards dans la mise à jour de Windows

Face à ces évolutions de Bagle et Netsky, le Cert-IST recommande donc à toutes les entreprises utilisant Windows de continuer à mettre à jour, en temps réel, leurs solutions de sécurité, de poursuivre la diffusion des préconisations de sécurité auprès des utilisateurs, mais également de «s’assurer de toute urgence qu’elles sont à jour dans le déploiement de leurs correctifs de sécurité systèmes et logiciels».

Même son de cloche chez Kaspersky. «L’antivirus ne fait pas tout, il ne s’agit pas d’un « antifailles »», indique Blanchard. «Ce n’est pas à nous de mettre à jour les systèmes mais aux administrateurs. Or cela n’est pas toujours fait, ou du moins avec du retard. Il peut encore se passer trois ou quatre mois entre la publication d’un patch et son installation. Un délai qu’exploite les auteurs de virus.»

Pourquoi un tel retard? «Sous la constante pression de productivité, l’administrateur va privilégier le maintien du bon fonctionnement des applications sur leur sécurité. Avant d’installer un correctif, il va vérifier que celui-ci ne bloque pas l’exécution d’un applicatif, ce qui prend du temps. Avec des demandes de maintien de service 24 heures sur 24, 7 jours sur 7, et une tolérance du temps de rupture qui est désormais descendue à moins de 1%, l’administrateur réfléchit à deux fois avant d’installer un patch», conclut Blanchard.

source CNet News

Newsletter

Abonnez-vous pour suivre nos actualités :