Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Alerte aux virus Bagle A. et Mmdload

auteur de l'article Aurélien Cabezon , dans la rubrique Menaces

Commentaires Commentaires fermés sur Alerte aux virus Bagle A. et Mmdload

Attention: Virus vicieux ! Le premier sait se faire oublier tout en se préparant à faire de gros dégâts! Le second est un cheval de Troie tente de duper les utilisateurs en leur extorquant leurs coordonnées bancaires.


Ce début de semaine se caractérise par une forte actualité des attaques virales. Bagle.A se lance ce lundi 19 janvier dans une attaque d’envergure. Propulsé en ‘mass mailing’, diffusion de masse par emails non ciblés, il se présente sous la forme d’un email dont le sujet est ‘Hi’ et le message ‘Test ».

Derrière cet email anodin qui ‘spoof’ son adresse, c’est-à-dire qui sait camoufler son adresse d’origine, se cache un fichier attaché en .exe, capable de se copier lui-même dans le répertoire Windows System, sous une identité cachée bbeagle.exe, et qui utilise l’icône calc.exe.

En clair, le ver falsifie le champ « Expéditeur » dans les e-mails qu’il envoie, ce qui signifie qu’il peut sembler provenir de quelqu’un que vous connaissez.

Particulièrement vicieux, Bagle.A attend son heure !

Bagle.A altère les clés de registre de Windows et tente de se diffuser lui même en fichier attaché en se connectant aux sites Web distants. De même, il veille sur les ouverture de ports TCP, en particulier sur le port 6667, afin de ce diffuser plus facilement. Enfin, il cherche à télécharger le cheval de Troie (trojan) Mitglieder.

Bagle.A est l’archétype du développement actuel des technologies virales, insidieuses, autonome, sachant se cacher, et déployant plusieurs stratégies afin de véroler le poste sur lequel elles s’installent, tout en menaçant le reste du monde en ligne. Selon F-Secure, la propagation Bagle A. est telle qu’il s’agirait de la première épidémie d’envergure pour 2004.

De son côté, Mmdload, repéré par Sophos, confirme la tendance des vers dont l’objectif est de détourner de l’argent. Mmdload est contenu dans la pièce jointe zippée d’un e-mail dont la ligne d’objet et le texte sont exactement identiques à ceux du récent ver Mimail-N. Le message offre au destinataire la possibilité de gagner une somme d’argent qui sera directement versée sur son compte bancaire, à condition qu’il remplisse un questionnaire lui réclamant des informations financières confidentielles.

Lorsque la pièce jointe est dézippée et le fichier qu’elle contient (PAYPAL.exe) exécuté par le destinataire, le cheval de Troie tente de contacter un site Web russe (Oh surprise!),

www.aquarium-fish.ru, pour y télécharger une copie de Mimail-N.

Synergie avec Mimail

Ce dernier peut donc ainsi contourner les protections mises en place au niveau de la passerelle de messagerie. C’est à ce même site que Mimail tente d’envoyer les formulaires Paypal remplis.

« Les auteurs de ces programmes savent bien que tous les destinataires du message ne seront pas des clients du service Paypal mais, comme les spammeurs, il leur suffit que quelques-uns tombent dans le piège pour pouvoir vider leur compte bancaire. », explique Annie Gay, Directeur Général de Sophos France.

La sale bête a tendance à se propager rapidement. Les multiples rapports reçus par Sophos suggèrent que l’e-mail portant ce virus a probablement utilisé des techniques de spamming pour accélérer sa propagation.


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.