Une nouvelle variant de Bagle (la AT) se répand depuis quelques jours sur Internet. Ce ver de messagerie ciblant Windows s'attaque notamment aux dispositifs de sécurité des ordinateurs infectés, et ouvre une porte de derrière permettant à une personne malintentionnée de prendre le contrôle du système.
L'alerte a notamment été donnée par l'éditeur d'antivirus Trend Micro vendredi matin, alors que des alarmes étaient enregistrées en Asie (Japon, Chine, etc.), en Europe, ainsi qu'aux Etats-Unis.
Qualifié par Trend Micro de "moyennement critique", Bagle.AT se déplace par e-mail en exploitant des adresses usurpées, les messages présentant des sujets divers ("Re Hello", "Re Hi", "Re Thank you!" et "Re Thanks") pour un corps de texte unique. A savoir : :)). Quant à la pièce attachée, elle affiche de nombreux intitulés et terminaisons possibles : "PRICE.CPL", " PRICE.COM", "PRICE.EXE", " PRICE.SCR", "JOKE.CPL", " JOKE.COM" ou ecnore "JOKE.EXE".
Comme ses prédécesseurs, Bagle.AT est conçu, à la manière d'un rétrovirus, pour désactiver les solutions de sécurité de l'OS (pare feu et antivirus). Autre action de Bagle.AT : la désinstallation des codes malicieux de type Netsky éventuellement présents sur le PC. "Sa principale originalité consiste à s'attaquer également aux fonctions de sécurité de Windows XP (Internet Connection Firewall, Internet Connection Sharing et Security Center Service)", note David Kopp,
Directeur du laboratoire TrendLabs pour la zone Europe, Moyen-Orient et Afrique.
Dénué de toute protection interne et doté d'un port ouvert au premier venu, l'OS est alors exposé à n'importe quel type de requête en provenance de l'extérieur, ce qui donne à l'auteur du virus tout loisir d'accéder à l'environnement à distance - par le biais de lignes de commande notamment.
"La mise en oeuvre d'un pare feu de type appliance [NDLR ou boîtier] contribue à protéger plus efficacement les machines contre Bagle.AT", indique David Kopp, avant de conclure : "les entreprises étant généralement équipées de tels dispositifs, il est clair que ce virus touche aujourd'hui principalement les machines de particuliers. ce que nous avons d'ailleurs vérifié dans nos mesures".
|
Dossier 
