Vers protéiformes, spammeurs, arnaqueurs... Attaque généralisée du réseau par Sapphire/Slammer. Eté meurtrier avec Blaster... L'année 2003 a été on ne peut plus virale. Rétrospective. (Lundi
22 décembre 2003)
L'année
2003 aura été fournies en événements viraux, nouvelles
versions malicieuses et autres attaques généralisées par
ver interposé. Des vers et virus d'un nouveau genre, embarquant diverses
technologies complémentaires se sont multipliés, donnant parfois
naissance à de véritables familles accumulant les versions successives,
comme par exemple Sobig et Mimail.
L'année a démarré sur les chapeaux
de roue avec le ver Sapphire/ Slammer qui a, quelques
jours durant, mis à mal le réseau mondial
et sa disponibilité. Au cours du premier semestre,
Fizzer et les premières versions de Sobig ont également
fait parler d'eux avant que le mois d'août, véritable
charnière de l'année 2003, ne voit se déchaîner
une série d'agressions de taille avec notamment
Blaster, la version F de Sobig et, un mois plus tard,
Swen.
Ce que l'on retiendra aussi de cette année écoulée
est la combinaison quasi systématique du code malicieux
avec des mécanismes de propagation par spam, permettant
une diffusion par auto réplication systématique.
Bien entendu, le tableau ci-dessous ne reprend que les
codes apparus en 2003, les "indéboulonnables"
Klez et Bugbear, dont les premières versions sont
nées en 2002, sont toujours présents et
actifs.
-
Ver qui a attaqué le réseau Internet à une vitesse fulgurante,
par Déni de Service (DoS)
- A exploité une faille connue et patchable de certains serveurs Microsoft
SQL (SQL 2000 et Desktop Engine 2000)
- Durée de vie très courte (quelques jours)
-
Ver qui s'est répandu par le biais d'une faille DCOM du service RPC (Remote Procedure
Call) de certaines versions de Microsoft Windows
- Une attaque par déni de service a été lancée en août
contre la site windowsupdate.com
-
Ver incluant un serveur HTTP, un moteur SMTP, un cheval de Troie aspirateur de
mots de passe, des mécanismes d'attaque d'antivirus et de connexion à mIRC et
AOL Instant Messenger
- S'est fortement diffusé - par Kazaa et par courriel - en mai puis s'est
progressivement éteint
-
Ver qui se diffuse grâce à son propre moteur SMTP et par les réseaux
P2P
- La faille exploitée se situe dans Internet Explorer et concerne une balise IFrame
- Se fait passer pour un courriel en provenance de Microsoft
- Utilise les adresses courriel trouvées sur les postes infectés
-
La version A de ce ver est sortie en janvier, suivie des versions B et C en mai
et D et E en juin. La version F, la plus dangereuse, est apparue en août.
- Se propage via son propre moteur SMTP et falsifie les adresses des expéditeurs
-
La version A - la plus dangereuse - de ce ver est apparue au mois d'août
2003, puis les versions successives ont suivi au cours du semestre (jusqu'à
la lettre L), dans des proportions moindres, sauf pour la version
J, apparue en novembre.
- Les différentes versions adoptent globalement le même mode opératoire
: extraction d'adresses courriel sur le poste infecté pour diffusion massive
et/ou vol de données confidentielles appartenant à l'utilisateur
-
S'inspirant de Sobig ("So big !"), Sober ("sobre") embarque
son propre moteur SMTP pour mieux se répliquer, mais ses "performances"
n'ont pas égalé, et de loin, celles de Sobig
- Comprimé au format UPX qui ne nécessite pas de phase de décompression pour s'activer.
Moyen
Ver
/ virus
(date d'apparition)
Caractéristiques
Niveau
de risque
*
selon les chiffres de MessageLabs,
sauf sources diverses