« I-Worm.Bagle.b » est le nom d'une nouvelle variante du ver de réseau Bagle, qui occupait la première place du classement des vers les plus répandus en 2004, avant d'être délogé par Mydoom....

« I-Worm.Bagle.b » est le nom d’une nouvelle variante du ver de réseau Bagle, qui occupait la première place du classement des vers les plus répandus en 2004, avant d’être délogé par Mydoom. Jusqu’à présent, ce sont quelques centaines de personnes qui ont signalé une infection via le courrier électronique. Selon Kaspersky Labs, concepteur de logiciels de sécurité informatique, il y aurait déjà au minimum 20 000 messages porteur de « Bagle.b » actuellement en circulation.

Un nombre modeste, pour l’instant, mais qui ne devrait cesser d’augmenter. La variante de Bagle ressemble beaucoup à son prédécesseur : le programme malin se propage via un fichier, joint à un courrier électronique, qui n’est autre qu’un fichier exécutable Windows de 11 Ko. L’objet du message est « ID x… thanks » et le corps, « Yours ID x… Thank », où x représente une succession aléatoire de caractères.

Une fois le fichier exécuté, le ver se copie dans le répertoire système de Windows et modifie la clé de la base de registre qui gère les lancements automatiques. Par la suite, Bagle.b tente d'établir une connexion avec quelques sites distants, qui sont liés d'une manière ou d'une autre au cheval de Troie proxy « Mitglieder ». A l'heure actuelle, toutes les sources réseau pour le téléchargement de Mitglieder ont été neutralisées et " I-Worm.Bagle " ne peut plus utiliser cette technologie pour accélérer le rythme de sa diffusion.

Bagle.b utilise le protocole SMTP pour se propager et diffuser très rapidement des copies de lui-même. Si l’on peut dire que les utilisateurs sont désormais quelque peu habitués, désormais, à se méfier des messages un peu étranges, ils risquent une fois de plus d’être massivement trompés par Bagle.b. Celui-ci, comme son prédécesseur, usurpe des adresses d’expéditeurs et trompe ainsi les utilisateurs de messagerie électronique qui pensent ouvrir un mail et un fichier attaché fiables.

Bagle B est conçu pour se désactiver de lui-même le 25 février. D’ici là, des millions d’ordinateurs dans le monde pourraient être infectés. Il n’a été décelé que mardi en Allemagne, mais à mesure que les heures passent, le nombre d’ordinateurs touchés grossit par milliers.

(Atelier groupe BNP Paribas – 18/02/2004)