12/06/2001
"Pentagone":
le ver qui fait plus de peur que de mal
Dossier: Virus,
l'actualité de la menace
Questions-réponses:
le
jargon des codes malicieux
"Plus de peur que de mal". La formule est
usée mais résume bien la situation une
journée après l'alerte "Gone",
nom du nouveau ver aussi appelé "Pentagone"
(par référence au
contenu
de l'un de ses messages). Mardi après-midi, en
choeur, les principaux éditeurs d'anti-virus
ont en effet émis des alertes, généralement
en attribuant à Gone, un niveau de risque maximal.
"Nous avons décidé de publier une
alerte rouge en nous appuyant sur le niveau de propagation
de ce ver, à la fois dans le temps et dans l'espace
puisque son expansion géographique a été
très rapide", détaille Stéphane
Le Hir, PDG de la filiale française de l'éditeur
Trend Micro. Toutefois, Gone ne semble pas techniquement
très novateur et s'avère finalement peu
nocif. Les éditeurs ont pu proposer très
rapidement des parades.
Comme à l'habitude, l'intrus qui se présente
sous la forme d'un email doté d'une pièce
jointe avec une extension ".scr" (extension
des fichiers d'écrans de veille Windows) puise
dans
le carnet Outlook des adresses vers lesquelles il pourra
se propager. Sa petite touche d'originalité réside
dans la "backdoor" qu'il installe sur le poste
infecté: déclenchée chaque fois
que l'application mIRC (utilisée pour l'Internet
Relay Chat) est lancée, cette backdoor peut alors
être exploitée pour lancer des attaques
par déni de services sur les canaux d'IRC auxquels
l'utilisateur est connecté. Gone semble d'ailleurs
avoir un goût prononcé pour les applications
de chat puisqu'il tente d'utiliser aussi la messagerie
instantanée pour se répandre. Enfin, cerise
sur le gâteau pourrait-on dire, Pentagone une
fois niché dans le poste utilisateur part en
quête de certaines applications pour les tuer.
Parmi elles, des anti-virus et des firewalls personnels...
On le voit, Gone semble d'avoir avoir été
conçu pour toucher le grand public, plus que
les entreprises. Celles-ci semblent avoir plutôt
bien échapper à la menace, probablement
parce que les fichiers avec les extensions ".scr"
sont interceptés par bon nombre de passerelles.
"En outre, contrairement à ce qui s'était
passé avec Nimda, cette fois les entreprises
françaises ont été très
réactives et nous ont averti dès les premières
réceptions de messages suspects", note Stéphane
Le Hir. Paradoxalement, cette réactivité
croissante des entreprises face à la menace virale
explique sans doute en partie pourquoi Gone s'est vu
attribué très vite un niveau de risque
élevé par les éditeur d'anti-virus.
Plus les entreprises s'éduquent face à
la menace virale, plus le thermomètre qui mesure
la propagation de ces codes malicieux devient sensible.
|