11/02/2001
Nimda.E,
un clône plus robuste du ver le plus agressif de tous
les temps
Le ver Nimda
revient à présent dans sa version E, en
quatrième position des remontées d'alertes
dans le monde selon Antivirus.com,
principalement pour sa propagation en Asie. En attendant,
selon F-Secure qui a augmenté sa cote d'alerte
tout comme Symantec, les soumissions augmentent en particulier
en Suède et en Allemagne, puis en France, en
Finlande, aux Etats-Unis et en Norvège. En revanche,
les déclinaisons B et C, apparues peu de temps
après l'original, et la D qui date aussi de ces
trois derniers jours, ne se sont que faiblement propagées.
Et pour cause, plusieurs d'entre elles dont cette dernière,
apparemment signée par un espagnol du nom de
Stephan Fernandez, étaient buggées. D'autre
part, aucune modification d'une quelconque importance
n'avait été apportée, à
part le fait de renommer des fichiers participants à
l'infection ou la compression de l'éxécutable
du virus en tant que tel.
"Nous reconnaissons ici les boutonneux qui ne font
que du copier/coller sur une technologie forte ou un
concept élaboré par un vrai développeur",
déclare Marc Blanchard, directeur du laboratoire
européen de Trend Micro. "Lorsque le concepteur
en a assez d'être plagié, il s'en plaint
dans le code source. Cette démarche était
plus courante autrefois et ces derniers temps nous n'avons
pas vu beaucoup cela se reproduire." Mais l'auteur
de Nimda.E a cette fois-ci pris le soin de rappeler
entre parenthèses "This's CV, No Nimda"
(CV pour Concept virus). Ce qui pourrait constituer
un signe de retour du programmeur original.
Nimda.E
comprend des mises à jour notables...
A l'inverse
des prédécesseurs, le code de Nimda.E
(alertes Trend
Micro, Symantec,
McAfee
pour qui cette variante ne nécessite pas de nouvelle
alerte, F-Secure
qui propose un outil spécifique et Sophos
qui l'appelle Nimda.D) connaît quelques améliorations
substantielles. Comme le souligne l'alerte de Symantec,
les bugs de l'original ont été corrigés.
De plus, la nouvelle mouture apparaît capable
de dérouter certains antivirus. Une stratégie
de contournement déjà adoptée par
le récent Klez, qui sait reconnaître les
noms des fichiers DLL (librairies de procédures
ou routines de code) des éditeurs d'antivirus
et génère des délais d'attente.
"En général, les anti-antivirus procèdent
d'une démarche métamorphique", explique
Marc Blanchard. "Par exemple, ils font croire qu'ils
effectuent une mise à jour du Kernel (noyau du
système) ou qu'ils sont Windows Update."
Deux autres rapprochements doivent être effectués
par rapport à Klez, qui semble se propager plus
rapidement en Europe que Nimda.E selon Trend Micro.
Le premier tient dans la capacité à se
propager sans ouverture de la pièce jointe. Ici,
Klez exploite des failles de Outlook qui permettent
d'éxécuter le fichier à la simple
prévisualisation du massage. Le second concerne
la nouvelle forme de pièce jointe, au format
WAV correspondant à des séquences audio.
Dans les deux cas, il s'agit de fichiers éxécutables.
...mais les correctifs à
appliquer sont les mêmes
Quoiqu'il
en soit, les failles exploitées par Nimda.E sont
strictement les mêmes que celles exploitées
par le premier Nimda. Sa forme compilée a simplement
nécessité la mise à jour de certains
antivirus. De fait, les administrateurs réseaux
et - au mieux - les responsables sécurité
qui auront appliqué tous les correctifs nécessaires
(relire les précédents
articles sur Nimda) n'ont pas à s'inquiéter.
Pour les autres, "deux semaines après l'apparition
de Nimda, certains techniciens continuaient à
travailler la nuit et le week-end pour rétablir
leur réseau", rappelle Marc Blanchard. "Quand
le responsable sécurité donne une consigne
et dit non, c'est non même pour le pdg."
Dans l'entreprise, personne n'est au dessus des règles
quand il s'agit de la sécurité, sinon
pourquoi désigner un responsable de la sécurité...
|