Parmi les récentes variantes de MyDoom, Netsky et autres Nachi, il est un virus qui se distingue du lot, pas tant par sa puissance de nuisance mais par le nombre de ses versions. De C à G, le virus-ver Bagle a en effet connu cinq variantes ces derniers jours. Bagle.C se montrerait particulièrement virulent selon l’éditeur d’antivirus Sophos.

Comme d’habitude, il s’agit d’un ver qui se propage grâce à son propre serveur SMTP de messagerie, en utilisant les adresses trouvées sur le disque dur de la machine infectée. Il se présente avec un en-tête aléatoire et une icône Excel mais aucun texte n’apparaît dans le corps du message. Si la pièce jointe - un fichier Zip à l’intitulé aléatoire - est exécutée, le ver se copie dans le système et crée une entrée dans la base de registres afin de se relancer à chaque démarrage de la machine. Il ouvre également le port 2745 et attend un ordre de l’extérieur qui l’invitera à télécharger et exécuter une application qui arrête plusieurs processus, notamment les mises à jour antivirales.

Un leurre pour les antivirus

Sophos signale que Bagle.F et Bagle.G disposent d’un artifice pour éviter les analyses antivirales locales comme celles du fournisseur d’accès. Le ver se présenterait comme un fichier Zip protégé par mot de passe, ce qui en interdirait l’analyse, le sésame étant présenté dans le coeur du message. Si Bagle.B n’arrivait qu’à la quatrième place du classement de Sophos du mois de février, l’ensemble des variantes pourrait prendre la tête du tableau dans le courant du mois de mars.