|
| |
| SECURITE |
| Bagle.AF, premier coup de chaud de l'été |
| Plus rapide à se répandre que ses prédécesseurs, le virus ouvre une porte dérobée sur les machines infectées et transmet leur adresse IP à une liste de serveurs.
(17/07/2004) |
|
 |
En savoir plus |
|
 Dossier  Virus |
Certains virus ne connnaissent pas de variation saisonnière. Repéré pour la première fois en janvier 2004, Bagle se transmet par fichier joint à un courriel ou par les logiciels de peer-to-peer. Sa 28e variante, poétiquement nommée Bagle.AF, vient de sortir et, à la différence de la plupart de ses aïeux, sa vitesse de propagation surprend.
McAfee, qui l'avait initialement classé dans la catégorie "medium / à surveiller", pourrait réévaluer sa menace en "high level", après avoir reçu 150 rapports comprenant le virus sur une très courte période immédiatement après son apparition. La plupart des cas communiqués à l'éditeur de solutions de sécurité proviennent d'Amérique du nord.
Sur le fond, Bagle AF ne diffère pas beaucoup de ses prédécesseurs. Il comporte un serveur SMTP embarqué pour se propager au plus vite et en totale autonomie.
Son
système de social engineering réussit à pousser des
internautes à ouvrir le fichier joint. La
mise à disposition de son code source sur Internet, au début du mois, n'a pas changé grand-chose à sa conception, sachant qu'il est relativement aisé - pour qui s'y attèle - de trouver les outils permettant de mettre au point des virus dangereux.
| Les victimes peuvent servir de relais pour des attaques de type DDoS |
Selon Sébastien Talha, ingénieur sécurité chez McAfee, "les outils sont facilement disponibles et donnent des virus légers, aux attaques très complexes. Ils exploitent plusieurs failles à la fois et peuvent faire tourner n'importer quel code avec des droits d'administrateur". Les virus récents (Sasser, Netsky...) , dont les versions se succèdent rapidement, "changent à chaque fois de DLL et de clé de registre", ce qui empêche les antivirus de les reconnaître, en l'absence de mise à jour. Par conséquent, il est indispensable de pouvoir protéger son parc rapidement : "l'antivirus, ce n'est que de la réactivité".
D'autant que les virus apparus en 2004, s'ils ne sont pas pris à temps, ont des effets secondaires. Bagle-AF
laisse ainsi une porte dérobée (sur le port TCP 1080) dans les systèmes infectés et, surtout, transmet l'adresse IP des machines contaminées à une liste de serveurs.
Les victimes qui n'ont pas rapidement reçu de correctif ou changé d'adresse IP peuvent donc servir de relais pour des attaques de type DDoS (déni de service distribué) ou être utilisées pour des envois massifs de spams. Seule une solution capable de repérer et traiter les virus, mais surtout de filtrer le trafic entrant et sortant, peut vraiment apporter de la sécurité face à ces attaques multiples.
|
En savoir plus |
|
| Dossier Virus |
Dans ce contexte, le énième report du lancement du service pack 2 pour
Windows XP, intervenu cette semaine, ne va pas arranger les choses.
En effet, ses pare-feu et antivirus installés par défaut, appliqués à un grand nombre de postes, pourraient contribuer à ralentir les virus. En attendant, gare aux fichiers joints. |
|
|
 |
