Sur les traces de Mélissa
Depuis vendredi dernier,
Melissa terrorise une
bonne partie des entreprises connectées à Internet.
Car à ce doux prénom répond un macro-virus
word qui se répand par e-mail sous forme de fichier attaché
sous Outlook. Une fois sa victime contaminée, Mélissa
se reproduit à 50 exemplaires qui sont envoyés aux
50 premières personnes du carnet d'adresses de la victime.
Aux Etats-Unis, le virus a fait des ravages, atteignant selon certains
éditeurs d'anti-virus (Network Associates) 80% de leurs clients
. De grandes entreprises ont dû interdire l'envoi de messages
pour éviter que la contamination continue. Pourtant, il est
très facile de se protéger contre Mélissa en
cliquant sur "Désactiver les macros" à l'ouverture
du document...
Le FBI s'est mis sur la piste de l'auteur du virus qui risque une
peine de 5 à 10 ans de prison et 350 000 dollars d'amende.
Première interrogation: comment le virus a-t-il pu se disséminer
aussi rapidement? C'est dans les newsgroups et plus particulièrement
dans le groupe de discussion alt.sex
qu'on a retrouvé les premières traces de Mélissa.
Contenu dans une liste de mots de passe pour visiter gratuitement
des sites pronographiques payants, Mélissa a pu être
téléchargé des millions de fois. Un bon moyen
pour diffuser un virus lorsque l'on sait que les internautes surfent
sur des sites "x" pendant 47% de leur temps sur le web.
L'auteur du message posté sur alt.sex, un abonné à
AOL du nom de Skyrocket, a été retrouvé hier
par le FBI mais dément avoir posté le virus. Scott
Steinmetz, l'ingénieur qui se cache derrière le pseudo
Skyrocket, s'est dit la victime d'un hacker qui utiliserait son
compte Internet. Un piratage de longue date puisqu'on retrouve le
nom de Skyrocket sur un message "virusé" posté
fin 1997.
Fredrik Björck, un étudiant traqueur de virus suédois
s'est lancé lui aussi sur la piste du créateur du
virus en utilisant les empreintes électroniques tatouées
par Word (et les autres programmes de la famille Office). Celles-ci
seraient identiques à celles présentes dans les macros
créées par VicodinES,
un générateur de virus.
Chez Trend Micro, le premier web à avoir proposé un
anti-virus,
on s'oriente plutôt vers l'Europe de l'Est puisque le virus
aurait pu être tracé jusqu'à l'Université
de Bratislavia (Slovaquie). Pour couper court à toutes les
rumeurs, Trend a dementi la relation entre le virus et l'intervention
de l'OTAN en Serbie.
Pendant les recherches, des programmeurs en herbe adaptent le virus
dont le code-source n'est pas difficile à trouver: il suffit
d'avoir été contaminé. Une première
variante appelée Melissa-A présente les mêmes
symptômes que le virus original avec pour seule différence
de se répandre avec un champ "sujet du message"
vide au lieu de "Important message". Puis c'est le virus
Dubbed Papa qui est apparu: une macro pour Excel qui utilise les
60 premières personnes du carnet d'adresse de la victime
à chaque fois qu'il est lancé (Mélissa ne s'activiat
qu'une fois). Pour s'assurer que l'ordinateur est bien connecté
au réseau, Dubbed Papa effectue des requêtes sur deux
sites web (@Home et et Fred Cohen anti-virus Expert) assez nombreuses
pour provoquer des pertes de bande passante très importante.
Plus récemment, c'est Mad Cow qui faisait son apparition
avec des effets similaires au premier Mélissa.
Dan Schrader de Trend Micro a affirmé que de nombreuses autres
variantes du virus allaient faire leur apparition mais qu'elles
seraient très faciles à exterminer puisqu'elles utiliseront
la même méthode de contamination que Mélissa...
[Alain Steinmann,
JDNet].
Au sommaire de l'actualité
