Dossier pratique de Fabrice:   Attention, Virus !


Attention : nouvelle race de virus-espions
Cela faisait bien longtemps qu'un virus pour Windows n'avait suscité autant d'émotion. Depuis trois jours, il se propage par mail à une vitesse inquiétante. On ne le voit pas, mais il dévoile tous nos secrets. Son nom : BugBear. Sa mission : l'infiltration. Voici comment le contrer. (03/10/2002)

Autres fichiers :

Retour a l'accueil du dossier VIRUS !

Analyse du Virus par Sophos

local port scan (LPS) : un logiciel pour en savoir plus

Resultat du scan de mon PC

Il existe au moins deux types de virus informatiques bien distincts, les destructeurs et les pernicieux. C'est à la deuxième catégorie qu'appartient ce nouveau BugBear qui se répand à vitesse grand V depuis trois jours. Le but de ce "vers", ou plutôt de ses créateurs, n'est en effet pas de nous pourrir la vie, par exemple en supprimant des fichiers, mais de mettre la main sur nos petits secrets. Bien sûr, les serveurs d'administration ou de grandes entreprises constituent la cible visée par ces virus espions, mais les particuliers ne sont pas à l'abri. D'abord parce qu'ils constituent un vecteur de diffusion du fléau, ensuite et surtout parce que pour un pirate, la provenance d'un mot de passe ou d'un numéro de carte bancaire importe peu, du moment qu'il est possible d'en tirer profit. C'est bien pour cela qu'il faut prendre BugBear au sérieux.

Attention. Comme c'étaient déjà le cas avec les multiples variantes du virus Klez, BugBear utilise des leurres. Ainsi, si par exemple vous receviez un e-mail contaminé émanant de L'Internaute, soyez bien assuré qu'il ne provient pas de chez nous . Il existe heureusement un moyen simple pour vérifier l'identité réelle de l'expéditeur.



1. Comment il fonctionne

Ce virus espion met en oeuvre à peu près toutes les ruses possibles pour rendre votre PC vulnérable aux regards, et le cas échéant aux intrusions malveillantes. Première étape de son plan d'action : se reproduire. Pour ce faire, BugBear intègre son propre serveur de mails, et s'appuie sur le carnet d'adresse d'Outlook pour tenter de contaminer tous les proches de sa victime. Seconde étape : le démantèlement des protections. BugBear essaie de désactiver les antivirus et les firewall installé sur la machine contamine. Pourquoi les firewall ? Parce que son but ultime est de faire main basse sur les données confidentielles. Ainsi ce vers s'apparente à un cheval de Troie, chargé d'ouvrir des portes d'accès qui permettront ultérieurement de fouiller la machine et même de la piloter à distance via Internet.

Même si votre PC n'abrite pas de secrets d'état, BugBear est une menace, en effet, il installe un mouchard qui se contente de mémoriser les caractères saisis au clavier, un moyen primaire certes mais efficace pour arracher mots de passe et numéros de carte bancaires. Enfin, BugBear modifie la base des registres de Windows de façon à se charger automatiquement lors du démarrage du système d'exploitation (Panda propose un outil gratuit pour rétablir les paramètres initiaux en cas de contamination).

2. Comment le contrer
Les éditeurs de logiciels anti-virus ont identifié ce vers le 30 septembre, et proposent tous une parade depuis. Nous ne saurions trop vous recommander de mettre à jour votre propre anti-virus avant même de poursuivre la lecture de cet article. Pourquoi cet empressement : parce que BugBear se répend comme une traînée de poudre, au point que les spécialistes réévaluent progressivement la gravité de l'attaque, Symantec estimant par exemple qu'il s'agit d'un risque de niveau quatre sur son échelle qui en comporte cinq.

Comme bon nombre de vers, BugBear se présente sous la forme d'une pièce jointe aux mails. Plus que jamais la règle qui prévaut est simple : pour être tranquille, n'ouvrez aucune pièce jointe. Même si elle a l'air bien sous tout rapport. Même si son intitulé est alléchant. Même si vous connaissez l'expéditeur (apparent) de l'e-mail. Il se peut tout à fait que l'un de vos correspondants habituels ait été contaminé et qu'il "vous écrive" à son insu. En outre, rien ne permet d'identifier formellement les courriers contaminés. La pièce jointe incriminée pèse 50 Ko, voilà tout ce qu'on peut en dire avec certitude. En revanche le nom du fichier est variable : il est pioché au hasard dans une liste de mots prédéfinis, voire même dans les éléments du dossier "Mes Documents". Pas moyen non plus de faire confiance à l'objet du message pour démasquer BigBear puisqu'une quarantaine de sujets différents ont déjà été identifiés. Bref, on vous le répète encore une fois : n'ouvrez jamais les pièces jointes.

Cette précaution est-elle suffisante pour se prémunir du fléau ? Malheureusement non. BigBear est décidément redoutable. Il s'appuie sur une faille de sécurité d'Outlook et d'Outlook Express qui permet l'exécution automatique de la pièce jointe sitôt que l'on parcourt le message. Cette faiblesse des logiciels de messagerie est connue depuis longtemps, et les correctifs sont disponibles en ligne. Si vous ne l'avez déjà fait l'an dernier, empressez vous de télécharger la mise à jour d'Internet Explorer qui correspond à votre version (vous sécuriserez Outlook par la même).

Si vous ne disposez d'aucun antivirus (il serait grand temps...), notez que l'éditeur de logiciels TrendMicro propose comme nombre de ses concurrents un diagnostic gratuit de votre machine à partir du web, et indique (en anglais) comment éradiquer BugBear manuellement.

Suite :

Analyse du Virus par Sophos

local port scan (LPS) : un logiciel pour en savoir plus

Resultat du scan de mon PC

Retour a l'accueil du dossier VIRUS !