Il
existe au moins deux types de virus informatiques bien distincts, les destructeurs
et les pernicieux. C'est à la deuxième catégorie qu'appartient ce nouveau BugBear
qui se répand à vitesse grand V depuis trois jours. Le but de ce "vers", ou plutôt
de ses créateurs, n'est en effet pas de nous pourrir la vie, par exemple en supprimant
des fichiers, mais de mettre la main sur nos petits secrets. Bien sûr, les serveurs
d'administration ou de grandes entreprises constituent la cible visée par ces
virus espions, mais les particuliers ne sont pas à l'abri. D'abord parce qu'ils
constituent un vecteur de diffusion du fléau, ensuite et surtout parce que pour
un pirate, la provenance d'un mot de passe ou d'un numéro de carte bancaire importe
peu, du moment qu'il est possible d'en tirer profit. C'est bien pour cela qu'il
faut prendre BugBear au sérieux.
Attention.
Comme c'étaient déjà le cas avec les multiples variantes du virus Klez, BugBear
utilise des leurres. Ainsi, si par exemple vous receviez un e-mail contaminé émanant
de L'Internaute, soyez bien assuré qu'il ne provient pas de chez nous . Il existe
heureusement un moyen simple pour vérifier
l'identité réelle de l'expéditeur. |
1.
Comment il fonctionne Ce virus espion met en oeuvre à peu
près toutes les ruses possibles pour rendre votre PC vulnérable aux regards, et
le cas échéant aux intrusions malveillantes. Première étape de son plan d'action
: se reproduire. Pour ce faire, BugBear intègre son propre serveur de mails, et
s'appuie sur le carnet d'adresse d'Outlook pour tenter de contaminer tous les
proches de sa victime. Seconde étape : le démantèlement des protections. BugBear
essaie de désactiver les antivirus et les firewall installé sur la machine contamine.
Pourquoi les firewall ? Parce que son but ultime est de faire main basse sur les
données confidentielles. Ainsi ce vers s'apparente à un cheval de Troie, chargé
d'ouvrir des portes d'accès qui permettront ultérieurement de fouiller la machine
et même de la piloter à distance via Internet.
Même
si votre PC n'abrite pas de secrets d'état, BugBear est une menace, en effet,
il installe un mouchard qui se contente de mémoriser les caractères saisis au
clavier, un moyen primaire certes mais efficace pour arracher mots de passe et
numéros de carte bancaires. Enfin, BugBear modifie la base des registres de Windows
de façon à se charger automatiquement lors du démarrage du système d'exploitation
(Panda propose un outil
gratuit pour rétablir les paramètres initiaux en cas de contamination).
2.
Comment le contrer Les éditeurs de logiciels anti-virus ont identifié
ce vers le 30 septembre, et proposent tous une parade depuis. Nous ne saurions
trop vous recommander de mettre à jour votre propre anti-virus avant même
de poursuivre la lecture de cet article. Pourquoi cet empressement : parce que
BugBear se répend comme une traînée de poudre, au point que les spécialistes réévaluent
progressivement la gravité de l'attaque, Symantec
estimant par exemple qu'il s'agit d'un risque de niveau quatre sur son échelle
qui en comporte cinq. Comme bon nombre de
vers, BugBear se présente sous la forme d'une pièce jointe aux mails. Plus que
jamais la règle qui prévaut est simple : pour être tranquille, n'ouvrez aucune
pièce jointe. Même si elle a l'air bien sous tout rapport. Même si son intitulé
est alléchant. Même si vous connaissez l'expéditeur (apparent) de l'e-mail. Il
se peut tout à fait que l'un de vos correspondants habituels ait été contaminé
et qu'il "vous écrive" à son insu. En outre, rien ne permet d'identifier formellement
les courriers contaminés. La pièce jointe incriminée pèse 50 Ko, voilà tout ce
qu'on peut en dire avec certitude. En revanche le nom du fichier est variable
: il est pioché au hasard dans une liste de mots prédéfinis, voire même dans les
éléments du dossier "Mes Documents". Pas moyen non plus de faire confiance à l'objet
du message pour démasquer BigBear puisqu'une quarantaine de sujets différents
ont déjà été identifiés. Bref, on vous le répète encore une fois : n'ouvrez jamais
les pièces jointes. Cette précaution est-elle suffisante pour se prémunir
du fléau ? Malheureusement non. BigBear est décidément redoutable. Il s'appuie
sur une faille de sécurité d'Outlook et d'Outlook Express qui permet l'exécution
automatique de la pièce jointe sitôt que l'on parcourt le message. Cette faiblesse
des logiciels de messagerie est connue depuis longtemps, et les correctifs sont
disponibles en ligne. Si vous ne l'avez déjà fait l'an dernier, empressez vous
de télécharger la mise
à jour d'Internet Explorer qui correspond à votre version (vous sécuriserez
Outlook par la même). Si vous ne disposez d'aucun antivirus (il serait
grand temps...), notez que l'éditeur de logiciels TrendMicro
propose comme nombre de ses concurrents un diagnostic gratuit de votre machine
à partir du web, et indique (en anglais) comment éradiquer BugBear manuellement. Suite
:
Analyse du Virus par Sophos
local
port scan (LPS) : un logiciel pour en savoir plus
Resultat
du scan de mon PC
Retour
a l'accueil du dossier VIRUS ! |