Non destructif, mais admirablement équipé pour l'espionnage, Bugbear fait figure de référence auprès des créateurs de virus. À l'automne 2002, il est devenu en moins d'une semaine l'un des virus les plus répandus sur la planète. Retour sur ce véritable phénomène.
Certains virus se propagent massivement par courrier électronique ; d'autres infectent certains programmes des ordinateurs de leurs victimes ; d'autres désactivent les programmes de protection (antivirus et autres pare-feux) ; d'autres encore ouvrent une porte dérobée (backdoor) sur le système, enregistrent les caractères tapés par leur victime et les transmettent à des pirates… et certains font tout à la fois !
C'est le cas de W32/Bugbear-B, apparu le 30 septembre 2002. Ce ver d'origine malaisienne (également connu sous les noms W32/Bugbear.B, Win32.Bugbear.B, W32/Bugbear.B@MM, PE_BUGBEAR.B, I-Worm.Tanatos.B, W32.Kijmo, W32.Shamur, W32/Bugbear.B!data, W32/Bugbear.B.dam, W32/Bugbear.B.dll ou enfin PWSteal.Hooker.Trojan) a littéralement déferlé sur le Web, affectant des milliers d'ordinateurs sous Windows (95, 98, NT, 2000, Me et XP) pour devenir, en moins d'une semaine, l'un des virus les plus répandus sur la planète.
Une faille bien exploitée
Variante du ver W32/Bugbear-A, qui se dupliquait lui aussi au travers de fichiers infectés joints à un message électronique et sur les partages réseaux (comme la plupart des vers), il présente la particularité de pouvoir en outre infecter des programmes. Mais sa caractéristique la plus remarquable est qu'il s'auto-exécute dès l'arrivée d'un message vérolé sur l'ordinateur de ses victimes, sans attendre que celles-ci ne double-cliquent sur la pièce jointe. Un procédé résolument pervers, qui met à profit une faille de sécurité affectant les logiciels Internet Explorer (version 5.5 ou antérieures), Microsoft Outlook et Outlook Express de Microsoft.
Baptisée Incorrect MIME Header Can Cause IE to Execute E-mail Attachment, cette vulnérabilité permet à Bugbear de s'exécuter automatiquement dès l'ouverture du message infecté ou dès son affichage dans le volet de prévisualisation des logiciels de messagerie du géant de Redmond. La faille en question avait beau être déjà âgée de 18 mois lors de l'apparition du ver, l'insouciance d'un (trop) grand nombre d'utilisateurs les avait empêchés d'installer le correctif publié par Microsoft : un manque d'implication sur lequel comptait largement, à raison semble-t-il, l'auteur du virus. Quant aux utilisateurs d'Internet Explorer 6, ou à ceux qui avaient installé le patch idoine, rien ne les empêchait naturellement d'exécuter eux-mêmes la pièce jointe : seuls ceux dont l'antivirus était à jour pouvaient alors échapper à l'infection…
L'ours entre par la boîte aux lettres
Bien qu'empruntant parfois les partages réseaux pour se propager, Bugbear s'invite donc le plus souvent chez ses victimes sous la forme d'un e-mail, dont l'objet peut prendre différents intitulés, de manière aléatoire. Parmi ceux-ci, citons notamment Hello!, Get a FREE gift!, bad news, fantastic, CALL FOR INFORMATION!, Sponsors needed, Warning!, Tools For Your Online Business, $150 FREE Bonus! ou, entre autres exemples francophones, profession de foi, Voici une carte virtuelle pour vous, Alcool et grossesse ou encore Samedi 18 mai.
La pièce jointe porte elle aussi un nom pour le moins changeant. Pour le créer, le virus a en effet scanné le répertoire Mes Documents de sa victime précédente, en quête d'un fichier particulier (de type .BAT, .BMP, .COM, .CPL, .CPP, .DIZ, .DLL, .EXE, .HTM, .HTML, .INI, .JPEG, .JPG, .REG, .SYS, .TXT ou .VXD). Un nom de fichier à la fin duquel il a ajouté une extension additionnelle .EXE, .SCR ou .PIF. Cette nomenclature a parfois accouché de pièces jointes à l'intitulé aussi éloquent que sauvegarde5janvier03.pxj.scr, COMPARATIF IMPRIMANTES.xls.exe, Petit Larousse 2000.lnk.pif ou encore mona lisa.jpg.exe.
Cette combinaison aléatoire de l'objet des courriels et du nom des pièces jointes, ainsi que le caractère polymorphe de Bugbear, qui rend chaque infection différente des autres, rend le virus difficile à identifier. Cela dit, seules les machines équipées d'Internet Explorer 5.5 (ou versions antérieures), dépourvues de toute protection antivirus ou dont le logiciel n'est pas à jour, pâtissent véritablement de ses effets néfastes : sur les autres ordinateurs, l'ours ne fait que passer sans laisser d'autre trace qu'un message d'alerte de l'antivirus.
Les choses sérieuses commencent
Une fois l'ours dans la bergerie, Bugbear n'a plus qu'à accomplir ses sombres desseins, qu'il satisfait en plusieurs phases. D'abord, le ver crée deux fichiers sur le disque dur, qu'il nomme de manière aléatoire. Un fichier .EXE de 72 192 octets, qui est une copie exécutable du virus contenu dans la pièce jointe initiale, est ainsi placé dans le répertoire Démarrage. Dans le même temps, un fichier .DLL de 5 632 octets, qui recèle une fonction d'enregistreur de frappe, est positionné dans le répertoire Système. Bugbear modifie ensuite la base de registre, de manière à s'exécuter automatiquement au prochain démarrage de Windows.
Puis, il récolte sur l'ordinateur de la victime toutes les adresses électroniques qui y sont stockées dans les fichiers de type .DBX (Outlook Express), .EML (Outlook Express Mail), .MBX (Eudora), .MMF (Microsoft Mail File), .NCH (Outlook Express News), .TBB (Windows Office Toolbar Button) et .ODS (Outlook Express), ainsi que dans les fichiers INBOX de Netscape. Une fois sa liste de futurs destinataires établie, Bugbear leur envoie, au moyen de son propre moteur SMTP, un message infecté.
Le ver entame alors sa propagation sur le réseau via les partages auxquels accède l'ordinateur de sa victime. Incapable de distinguer un terminal d'une imprimante, il peut s'insinuer dans les files d'attente de ces dernières et entraîner des impressions inopinées. Bugbear tente également de désactiver plus d'une centaine de logiciels de sécurité (antivirus et pare-feux personnels), avant d'ouvrir le port de communication 1080 de l'ordinateur. Il crée ainsi une porte dérobée : à distance, le pirate sera dès lors à même de créer, modifier, copier, supprimer, exécuter des fichiers, mais aussi de décrypter les mots de passe conservés en mémoire, de mettre fin à des processus (de sécurité, par exemple), ou encore de recueillir diverses informations sur la machine, à toutes fins malveillantes.
Enfin, dans le répertoire Windows, le ver infecte plusieurs exécutables, parmi lesquels Bloc-notes, Regedit, Scandisk, Windows Media Player ou encore Winhelp. Il parcourt ensuite le répertoire Program Files et, s'il les y localise, infecte de nombreux programmes à l'usage répandu : ACDSee, Ad-Aware, Adobe Acrobat, ICQ, KaZaA, Internet Explorer, Outlook Express, MSN Messenger, QuickTime, RealPlayer, Winamp, Winzip, ZoneAlarm, etc.
Pas touche à mon clavier…
C'est alors qu'entre en action le composant enregistreur de frappe (keylogger) nommé PWSteal.Hooker.Trojan, que Bugbear a préalablement copié dans le répertoire Système. Ce petit curieux a pour mission d'enregistrer dans un fichier l'ensemble des caractères saisis au clavier par l'utilisateur : informations personnelles, numéros de comptes bancaires ou de cartes bleues, identifiants de sécurité… Autant de données vouées à tomber entre de bien mauvaises mains, puisque Bugbear est programmé pour les transmettre, toutes les 2 heures ou lorsque le fichier d'enregistrement atteint 25 000 octets, à une adresse e-mail choisie au hasard dans une liste de 25.
Si, lors de son analyse initiale du système, le ver a identifié l'adresse de messagerie par défaut de l'utilisateur comme appartenant à l'un des 1 000 domaines de banques qu'il connaît, la chanson n'est plus tout à fait la même. En effet, il envoie, en plus des caractères saisis au clavier, les mots de passe de connexion réseau à une adresse e-mail choisie dans une liste de 10. Les banques et autres institutions financières encourent ainsi de graves désagréments si l'un des ordinateurs de leurs réseaux est infecté par Bugbear…
Heureusement, pour éviter l'infection, il suffit d'employer Internet Explorer 6 ou un autre navigateur Internet, d'installer régulièrement les correctifs de sécurité du système, de tenir son antivirus à jour, de protéger les accès aux ressources réseaux par des mots de passe… et, comme toujours, de ne jamais cliquer sur une pièce jointe sans vérifier au préalable son intégrité !
