Le développement de Bagle-botnet

Le 18 janvier 2004 a marqué le début de l’épidémie par ce ver de messagerie qui reçut alors l’appelation Email Worm.Win32.Bagle.a. A ce moment là, l’industrie de l’antivirus n’avait pas encore idée de ce que préparait l’auteur du ver.

L’analyse effectuée par les analystes de Kaspersky Lab sur la première variante montrait que le ver perdrait ses fonctions après le 28 janvier 2004, ce qui laissait à supposer que d’autres variantes allaient suivre. La deuxième version est apparue un mois après.

Pratiquement toutes les modifications du ver comportaient une nouvelle fonction destinée à rendre toujours plus difficile sa détection et/ou à augmenter la taille de l’épidémie. L’évolution du ver ressemble à ceci :

Variante Détecté le Innovations
Bagle.b 17.02.2004 dans le but de compliquer l’analyse, le module exécutable du ver est zippé ; .
Bagle.c 27.02.2004 les icônes de fichier Excel étaient utilisées comme icônes des documents attachés infectés, afin de tromper les destinataires pour qu’ils ouvrent le fichier attaché infecté. L’auteur a également utilisé les techniques du social engineering dans les en-têtes des messages pour inciter les internautes curieux à ouvrir l’email.
Bagle.d 28.02.2004 Il semble que l’auteur ait décrété que la plupart des utilisateurs ne font pas confiance dans les fichiers Excel, ceux-ci étant réputés pour être potentiellement porteurs de code malicieux. Aussi le fichier attaché exécutable se présentre sous forme d’icônes de fichiers textes standards.
Bagle.f 29.02.2004 L’auteur commence à se servir des réseaux P2P comme vecteur d’infection supplémentaire. Les noms alléchants de fichier p2p sont une technique de social engineering évidente. – tels que Microsoft Office 2003 Crack, Working!.exe, Porno pics archive, xxx.exe etc. Cette variante a infecté encore plus de machines que la précédente. L’auteur sait désormais que les vendeurs d’antivirus bloquent avec succès les nouvelles épidémies de Bagle et introduisent une nouvelle approche. Les fichiers attachés sont placés dans des archives protégées par mots de passe, ce dernier se trouvant dans le corps du message.
Bagle.i 03.03.2004 Cette version donne le coup de feu de départ à la guerre des virus de 2004. Bagle.i comporte une insulte à l’adresse de l’auteur de Netsky. Peu après, les nouvelles versions de Bagle suppriment les versions de NetSky des ordinateurs infectés. Bagle.i comportait également une ruse très astucieuse de social engineering – le texte du message était soit disant écrit et signé par Kaspersky Lab. L’adresse de l’expéditeur était faussée et semblait venir de @kaspersky.com.
Bagle.n 13.03.2004 Cette variante utilise de nouvelles techniques pour empêcher la détection par les solutions antivirus et/ou par les utilisateurs. Une d’elles consiste à ce que le mot de passe du fichier infecté soit un fichier graphique au lieu de fichiers textes que les vendeurs antivirus détectent. Cette version est aussi la première à être écrite à l’aide de techniques polymorphiques. Au fur et à mesure de sa propagation, Bagle.n s’est transformé rendant encore plus difficile son authentification et détection.

A chaque nouvelle version, l’auteur de Bagle aiguise ses techniques précédentes tout en ajoutant de nouvelles. La communauté Internet continue d’être dupée par ces nouvelles versions et les analystes viraux sont sur leurs gardes. Les nouvelles versions de Bagle pourront :

  • bloquer l’accès à des sites antivirus depuis des machines infectées, empêchant les utilisateurs de télécharger les dernières mises à jour nécessaires pour traiter et arrêter les nouveaux Bagles ;
  • contenir des listes plus longues et plus complètes de processus que le ver bloque, y compris les services de l’antivirus et du firewall ;
  • tenter d’utiliser des scripts VBS pour activer le code malicieux

L’auteur de Bagle surveille les méthodes déployées par les vendeurs d’antivirus pour bloquer ses nouvelles versions. Les produits antivirus scannaient par exemple le mot de passe qui protégeait les archives vérifiant si le premier fichier était un fichier exe. En guise de répartie, les nouvelles versions contenaient des fichiers HTML avec un exploit dans le premier fichier. Dans ce cas, le fichier exe du ver était deuxième et une analyse supplémentaire était nécessaire pour le détecter.

A l’heure où cet article est écrit, le laboratoire de Kaspersky Lab a détecté plus de 100 variantes de Email-Worm.Win32.Bagle et le même nombre de Trojan-Proxy.Win32.Mitglieder. Mitglieder est écrit sur la base du code source de Bagle mais ne se duplique pas. En d’autres termes, l’auteur de Bagle produit du malware en moyenne tous les deux jours.

L’auteur de Bagle produit du malware en moyenne tous les deux jours.

La majorité des variantes de Bagle étaient programmées pour cesser de fonctionner au bout d’un un temps donné. Il est clair que l’auteur planifiait de continuer à produire de nouvelles modifications pendant tout ce temps là. Plus inquiétant, toutes les versions décrites ci-dessus comportaient un code pour administrer à distance les machines infectées.

L’auteur de Bagle se concentre sur l’amélioration des techniques de social engineering pour inciter les internautes à exécuter les documents attachés infectés. En même temps, les vers contenaient tous une fonctionnalité assignée à éviter la détection par antivirus : bloquer les services de sécurité, masquer les mots de passe des archives infectées etc. Pour résumé, l’auteur de Bagle s’est engagé dans une longue campagne contre les éditeurs d’antivirus, en même temps qu’il infecte et contrôle de nouvelles victimes.

Et il s’est avéré que l’auteur de Bagle avait des plans qui allaient encore plus loin qu’une guerre contre les antivirus et qu’une malheureuse infection d’internautes:

L’histoire sans fin: Bagle aujourd’hui

L’auteur de Bagle a passé un bon bout de temps à polir les techniques d’infiltration et à écrire de nouveaux vers et Trojan-proxy. Le résultat est un gros réseau de machines zombies répondant à tous les caprices de celui qui les contrôle. Les zombies sont contrôlés à l’aide d’ URLs où l’auteur de Bagle place régulièrement des codes malicieux mis à jour. Afin d’égarer les analystes viraux et les utilisateurs, une URL donnée peut être laissée vide ou en sommeil pendant une longue période.

Les ruses boomerang de spammeurs

Le 15 février 2005, l’auteur de Bagle lance une nouvelle forme de malware: SpamTool.Win32.Small.b. Cet outil spam est conçu pour scanner les machines infectées et collecter toutes les adresses email disponibles. Le programme scanne ensuite la liste obtenue et rejette toutes les adresses apparentées à des éditeurs de logiciels antivirus – non pas parce que l’auteur a peur mais simplement pour gagner du temps. Tant qu’un éditeur de sécurité n’a pas d’échantillons, le contrôleur a plus de temps pour infecter de nouvelles victimes. Envoyer du spam à des millions d’internautes prend plusieurs heures, chaque minute compte. Dans le cas présent, chaque minute gagnée par l’auteur de virus équivaut à des milliers de nouvelles machines zombies et donc à plus de profit.

Les analystes de Kaspersky Lab ont créé quelques milliers de fausses adresses emails et ont utilisé SpamTool.Win32.Small.b pour envoyer ces adresses à l’auteur de Bagle. La réponse fut un flux de nouveaux Bagle et autres – spams, lettres de phishing et même autres vers de messagerie. Que s’est il passé ? Est-ce que le père de Bagle travaille de pair avec d’autre cyber criminels? Plusieurs scénarios sont possibles :

  • D’autres membres du cyber underground ont accès aux listes de mailings générées par Bagle
  • D’autres logiciels malveillants collectent nos adresses depuis des emails entrants après que le spam ait été soi-disant envoyé depuis l’adresse que nous avons créé.
  • L’auteur de Bagle vend ses listes de mailing

    Dans tous les cas, les adresses sont récupérées d’une manière ou d’une autre par l’auteur de Bagle.

    De plus, la rapidité avec laquelle ce grand nombre d’adresses a été traité et commencé à recevoir du malware supplémentaire indique que le procédé de recherche et d’infection de nouvelles machines est automatisé. Les auteurs de virus possèdent des robots qui collectent et exécutent les données automatiquement pour infecter de nouveaux ordinateurs et créer de nouveaux botnets.

    Test de vitesse de réaction

    Le 1er mars 2005, l’auteur de Bagle décidait de tester la rapidité de réaction des éditeurs antivirus lorsque 15 extraits de malware reliés à Bagle, vers et Trojan-proxies y compris étaient lachés en moins de 24 heures.
    En observant la régularité avec laquelle le malware lié à Bagle est apparu depuis janvier 2004, il est évident que son auteur devient plus actif (les chiffres sont basés sur les données de Kaspersky Lab et peuvent différer d’avec les chiffres publiés par d’autres éditeurs antivirus).

    Faire du profit

    A l’heure où cet article est écrit, l’auteur de Bagle a cessé de focaliser sur les moyens éviter les développeurs antivirus. A la place, son but semble être l’infection du plus grand nombre afin de faire du profit d’une des manières suivantes :

    • vente de botnets pour des attaques de DoS ou des plateformes de spam ;
    • vente d’adresses collectées à des spammeurs et/ou phishers;
    • collecte de données confidentielles depuis les machines infectées – logins et mots de passe sur des systèmes bancaires et de paiement en ligne

    Pour que l’affaire soit rentable, l’auteur de Bagle a besoin de garder les machines zombie actives. La technique la plus rentable est de régulièrement mettre à jour le malware stocké sur les URL infectées.

    La plupart du malware lié à Bagle est archivé en utilisant des archiveurs modifiés, aussi bien des versions commerciales que celles de l’underground. Cela laisse à penser que l’auteur ne cherche plus à être plus futés que les vendeurs d’antivirus. Le but est de faire un maximum de bénéfices avec un minimum d’efforts.

    Que peut-on espérer à l’avenir?

    L’auteur de Bagle va sans aucun doute chercher d’autres moyens de faire de l’argent en gardant pour proie les malheureux utilisateurs afin de maintenir un réseau de botnets viable. Une analyse détaillée de ces dernières versions indique que les plans de l’auteur sont à long terme. Le code se réfère à plusieurs centaines de paiement en ligne et ebanques. Une tentative de gagner de l’argent par ce biais est la prochaine étape sur la liste.

    Le degré d’automatisme du processus prouve que l’auteur de Bagle continuera à écrire des utilitaires et des robots jusqu’à ce que le système entier d’identification, d’infection et de maintenance des zombies soit complètement automatisé.

    Recommandations pour les internautes

    Le laboratoire de Kaspersky Lab surveille la situation de très près. Les nouvelles mises à jour sont publiées dans les temps et d’autres mesures de protection ont été mises en place.

    Voici quelques règles de base qui vous aideront à protéger votre ordinateur:

    • Mettez à jour votre antivirus régulièrement – Kaspersky Lab publie des mises à jour toutes les heures
    • Patchez votre système et vos applications régulièrement
    • N’ouvrez et/ou n’exécutez jamais des fichiers joints à des emails inattendus, même s’ils semblent provenir d’amis ou de respectables développeurs d’antivirus. Vérifier la légitimité de l’email.

        En conclusion, les botnets de Bagle sont loin d’être les seuls botnets sur l’Internet. Aujourd’hui, surfer sans solution antivirus mise à jour est une invitation au crime, et la promesse d’avoir sa machine infectée et transformée en zombie.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *