bagle ou bagle ?A force de désinfecter les PC de mes enfants, de mes ami(e)s, voisin(e)s et enfants de ceux-ci, j’ai une certaine habitude des malwares, virus, vers, rootkits et autres troyens et suis pourvu d’une trousse à outil conséquente pour y faire face. Car depuis l’avènement des messageries (MSN) et des jeux online en flash, nos chères petites têtes blondes ne résistent pas à l’envie de cliquer à chaque invite pour installer GRATUITEMENT la barre d’outil trucmuche, les smilies trop MDR et autres saloperies. Oui, vous avez gagné 1000 € ! Cliquez ici ! Non, pas vous… C’est un exemple.

D’ailleurs, je ne sais pas si vous avez remarqué mais les pourriels et autres pop up semblent disposer d’une intelligence propre, à base de cookies ou sans doute plus vicieux encore… Ainsi, les enfants sont inondés de cadeaux, peluches, fonds d’écran et smilies tandis que les adultes mâles reçoivent plus volontiers des listing de filles de l’est toutes plus craquantes les unes que les autres ou des kilos de Viagra ou le plus souvent le énième moyen d’accroître la taille du pénis. On a beau dire que l’outil ne vaut rien sans l’artisan, rien à faire : Le gang des « allongeurs » continue de sévir. En ce qui me concerne, à  moins de me l’enrouler sur l’oreille pour me déguiser en pompe à essence, je ne vois vraiment pas ce que je pourrais faire de ces centimètres supplémentaires. Hummm. Bon…

Je surfais donc gaiement, avec 23 fenêtres et onglets ouverts et au moins autant de logiciels en test (je suis un bidouilleur) me pensant bien à l’abri. Un peu fatigué, en plein éditing photo pour plusieurs bouclages, un fichier Skype qui traîne, je double clique imprudemment sur un magnifique .exe camouflé et ding dong : Avast se met à faire mugir la sirène et m’ouvre un tas de fenêtres avec une belle infection polymorphe et multiple. J’éradique, j’éradique… Ouf !

Sauf que, en voulant scanner le PC avec quelques outils, je reçois une magnifique impossibilité Win32 avec le conseil judicieux de « contacter mon administrateur » (mais c’est moi, crétin !!!) et quelques minutes plus tard, un petit son roublard (genre pioufff, pour jouer avec vos nerfs) écran bleu, et le PC reboote. Ça va, j’ai reconnu les symptômes : C’est Bagle ! Un rootkit particulièrement vicieux qui, à la manière des bombes à fragmentation, se sépare en différents agents viraux qui s’installent tout en téléchargeant un tas d’autres virus pour participer à la fête (ceux qu’a repéré et éradiqué Avast). Mais Bagle fait mieux : Il empêche la restauration système, coupe la connexion internet, désactive les antivirus et antimalwares installés, désactive le lecteur de CD, empêche le démarrage en « mode sans échec » (quelle blague aussi ce flegmon Microsoft, qui ne marche jamais quand on en a besoin…) et renait de ses cendres à chaque démarrage. En DOS, je tente de fixer le Master Boot Record, espère restaurer avec le fameux sfc /scannow et trifouille le démarrage avec mscongig, évidement sans succès… Bieeeeen. Nous voilà gros Jean comme devant. Résumons : impossible de booter sous Linux à partir d’un CD, impossible de lancer des utilitaires de diagnostic en mode « sans échec », impossible de faire un scan distant depuis internet, bref : Verrouillé dans son slip !

Ci dessous un aperçu de la bête en action réalisé par les finlandais du F-Secure Lab, qui montre bien la complexité du problème. Les « boîtes » sont les fonctions du ver. Celle du dessus s’exécute au démarrage. Le premier anneau représente toutes les fonctions appelées par le boot. Le second anneau, toutes les fonctions appelées par une des boites du premier anneau et ainsi de suite. Toutes les lignes montrent les appels d’une fonction à l’autre. Les boites rouges sont les codes du ver alors que les bleues appartiennent aux librairies API déjà installées sur le PC…

[media id=19 width=500 height=375]

Conseil pour les heureux possesseurs de PC sous Windows : Défoncer l’engin à la masse, le finir au pilon et courir acheter le dernier Mac. Il n’y a pratiquement pas de virus sur Mac… Ou alors, formater, réinstaller Windows et ne travailler qu’avec Notepad et MS Paint. C’est top et sans danger. Aaaah non, pas d’Internet. Et quoi encore ?

Bon, attaquons l’intrus… Première constatation : Avast est une passoire ! J’ai tourné pendant un an avec un Kaspersky, acheté au prix fort, mais dont l’interface est tellement explicite que c’en est un bonheur. Sans parler du ralentissement de la machine et des alertes intempestives. Et finalement plein de trous lui aussi. Je me contentais depuis d’Avast, libre et plutôt sympa. Et de Spybot pour les trojans. C’était trop « léger » !

Grâce à une autre machine connectée à l’Internet, je me renseigne et trouve une kyrielle d’outils pour éradiquer l’intrus en une procédure longue et douloureuse (comptez trois jours rivés à la machine…) et dont on trouve la description détaillée ici et ici. Inutile de dire qu’en impatient congénital j’ai fait autrement… L’occasion de découvrir quelques logiciels sympas à tester. Et d’adopter, en lieu et place des précédents, Antivir (qui trouve beaucoup de choses…) et Malwarebytes’ Anti-Malware (qui dispose d’une fonction scan rapide incomparablement plus véloce que SpyBot). L’excellent ComboFix que je connaissais déjà mais que le virus reconnait et désactive dès qu’on l’installe sur le bureau ! (L’astuce consiste à changer son nom…)

Egalement Bagle_Fix, FindyKill, SDFix, SmitfraudFix, Navilog, CleanAfterMe, ToolsCleaner2 et PureRa. Et bien sûr, l’incontournable HiJackThis… On consultera également avec profit une excellente page sur la prophylaxie… Des conseils de bon sens. A l’heure qu’il est, me voilà débarrassé des dernières scories de ce virus coriace qui m’a quand même donné du mal ! Heureusement qu’il y a des experts sur l’Internet…

Et vous ? Vous vous y prenez comment pour protéger votre ordinateur ? Je suis sûr que vous avez des histoires d’infection croustillantes à raconter… Le premier qui écrit « j’utilise un Mac » sera responsable de ma défenestration !