Il y a 5 ans : Les nouvelles versions de Bagle se protégeaient des anti-virus

Toutes les semaines, retour sur un événement marquant de l'actualité de l'industrie informatique & télécoms d'il y a 5 ans.

Alors que les alertes relevées par les principaux éditeurs d'antivirus ne concernaient que peu le fameux ver Bagle au mois de février 2004, trois nouvelles versions dérivées du virus original étaient en train de changer la donne. Il s'agissait de Bagle.N, Bagle.O et Bagle.P.

Les dangers de ces nouvelles versions du ver - qui secoua l'année 2003 - tenaient dans leur capacité à traverser les défenses des anti-virus standards en protégeant par un mot de passe les pièces jointes infectées, compliquant de ce fait le travail des systèmes de protection. Alors que les anciennes éditions exploitaient l'utilitaire de compression Winzip pour véhiculer le code malicieux, les nouvelles versions faisaient appel Winrar pour se protéger.

Autre élément nouveau dans les versions N et O de Bagle, le mot de passe pour ouvrir le fichier n'était plus inclus dans le texte joint à l'e-mail envoyé, mais se présentait sous forme d'images, renforçant ainsi les défenses contre les moyens de détection usuels. A noter que les trois versions pouvaient par ailleurs supprimer des entrées de registres pour prévenir l'exécution des variantes de Netsky (une guerre entre concepteurs de virus faisait en effet rage, rajoutant au grostesque de la situation).

Et pour compliquer davantage la tâche aux éditeurs d'antivirus, le ver se dupliquait et déposait son code dans des exécutables du disque dur de la victime, ce qui lui permettait de réinfecter un système préalablement nettoyé si l'utilisateur relançait un exécutable contaminé. Mieux, sa capacité à infecter un fichier s'étendait aux fichiers exécutables portables, facilitant par ce biais son intrusion sur tout système d'exploitation possible.

L'objectif du ver restait identique. Il s'agissait pour chaque ordinateur infecté d'ouvrir le port TCP 2556 et d'attendre en réponse une commande saisie par un utilisateur distant, mettant à disposition des pirates les ordinateurs infectés.

 

Et aussi, du 10 au 17 mars 2004

Fortinet levait 50 millions de dollars

Fortinet, fournisseur de passerelles firewall/antivirus basées sur une architecture ASIC, levait 50 millions de dollars. Le tour de table mezzanine avait été entièrement approuvé par les investisseurs de Fortinet (parmi lesquels RedPoint Ventures, Meritech Capital Partners, Acorn Campus et DEFTA Partners) et par d'autres investisseurs stratégiques.

SAP à la rescousse d'Oracle

SAP partait à la rescousse d'Oracle ! Dans une lettre envoyée au DoJ américain, l'éditeur d'ERP allemand exprimait son opposition à la décision prise dans l'affaire Oracle/PeopleSoft (à savoir : l'opération envisagée par Oracle est anticoncurrentielle). SAP ne souhaitait en effet pas en effet être vu comme un unique acteur dominant sur son marché, et le rapprochement Oracle-PeopleSoft pouvait servir ses intérêts.

Opera entrait en bourse

Opera s'introduisait sur le marché boursier suédois. Le titre y était coté depuis mercredi 11 mars 2004. L'éditeur, qui développe le navigateur Web du même nom, sortait par ailleurs une nouvelle version de la déclinaison pour terminaux mobiles de son produit phare.

Virus / Investisseur

Annonces Google