L'autre Code Red : un ver plus rapide et plus dangereux

Certains l'ont baptisé "Code Red II". De son côté, le spécialiste des solutions de sécurité Symantec le désigne par "CodeRed.C". Toujours est-il que le ver repéré samedi 4 août "malgré ses similitudes, n'est pas une variante du virus Code Red", indique l'alerte publiée dimanche sur le site spécialisé SecurityFocus. L'auteur du nouveau programme se serait simplement "inspiré" de celui qui a fait trembler l'amérique car le code contient les caractères "CodeRedII", ont expliqué les experts. Beaucoup plus dangereux que son prédécesseur, le virus se propage de la même manière -exploitant la même faille dans les serveurs Microsoft IIS n'ayant pas encore été mis à jour par le patch- mais installe une backdoor ("porte secrète") dans les serveurs infectés.

Après l'attaque de Washington, le cheval de Troie
Code Red n'a pas atteint son objectif qui consistait à bombarder les sites du gouvernement américain depuis les centaines de milliers de sites qu'il était parvenu à infecter. Les adresses des sites menacés ayant été modifiées, le fait qu'il continue à se répandre dans les serveurs ne devrait plus avoir de conséquences réellement dommageables. Le nouveau ver, par contre, se répandrait six fois plus vite selon le même procédé et représenterait une menace bien plus préoccupante. Car CodeRed.C se classe également dans la catégorie des chevaux de Troie, virus destinés à ouvrir aux hackers un accès depuis l'extérieur et leur permettant donc d'intervenir à distance sur son contenu.

Des centaines de milliers de serveurs sous contrôle ?
Cette exploitation de la faille décrite par JDNet Solutions fin juin (voir article) pourrait, si le virus se répand à la vitesse indiquée par les spécialistes, offrir à son auteur l'accès à des centaines de milliers de serveurs web encore vulnérables. Dès lors, celui-ci serait en mesure de prendre le contrôle des machines, soit pour mener de nouvelles attaques, soit pour en altérer le contenu. Rappelons que Code Red avait infecté le 19 juillet 250 000 systèmes informatiques en neuf heures. Il devient donc plus qu'urgent pour les administrateurs téméraires qui n'auraient pas encore appliqué le patch de Microsoft, de le faire avant qu'il ne soit vraiment trop tard. En l'occurrence, il en va de l'intégrité de leurs propres sites web. A savoir, Symantec fournit également un service en ligne de scan de serveur afin de détecter une éventuelle infection par le virus.