Le virus Mydoom cible SCO et Microsoft

Sécurité

Le virus Mydoom se propage à très vive allure et cible SCO et Microsoft

En 24 heures, la propagation de ce nouveau virus est très rapide. Rien de nouveau dans sa technologie mais beaucoup plus de ruse. (Mercredi 28 janvier 2004)

En savoir plus

Porte dérobée
Virus
Virus Bagle
MyDoom / Slammer : un an d'écart, les mêmes effets
Dossier Vers, virus, chevaux de Troie

Instructions et vaccins
Symantec
F-Secure
Trend Micro
Sophos
Computer Associates

En 48 heures, plus de 3 millions d'interceptions ont été enregistrées par le site de MessageLabs, un record dans l'histoire des virus ! Les derniers chiffres dépassent les 5 millions d'interceptions. Selon F-Secure, entre 300 000 et 500 000 machines seraient touchées dans le monde.

Le virus Mydoom (autrement appelé Novarg ou Mimail Q ou R) est un spammeur de masse, utilisant des techniques désormais très classiques de pièces attachées trompeuses (simulant des erreurs de courriel) et ouvrant une porte dérobée pouvant servir à la prise en main distante des postes contaminés.

Il se diffuse aussi via Kazaa et pourrait avoir été conçu en Russie. Sa durée de vie est courte : jusqu'au 12 février. Entre temps, une attaque en déni de service est prévue contre le site Sco.com.

MyDoom : les
derniers chiffres

Selon F-Secure, plus de 100 millions de courriels auraient été infectés en moins de 36 heures.
La version B de MyDoom est apparue le 28/01. Elle vise SCO.com et Microsoft.com. Elle désactive par ailleurs les principaux logiciels anti-virus du marché.
1 courriel sur 3 dans le monde est contaminé par le virus. A ce ryhtme, MyDoom surpasse largement le virus Sobig.

Un virus plus rusé que les précédents
"Ce virus présente peu de différences avec le virus Bagle mais il semble que les premières personnes ciblées ont été mieux choisies, ce qui peut expliquer qu'il ait eu plus de "succès". De plus, il utilise une ruse assez efficace puisqu'il fait croire aux victimes que certains de leurs courriels n'ont pas pu être délivrés, ce qui incite les gens à ouvrir la pièce jointe pour voir ce qui s'est passé", précise François Paget, chercheur anti-virus chez Network Associates.

Le courriel envoyé par Mydoom peut en effet avoir plusieurs objets ("Error", "Status", "Server Report", "Mail Transaction Failed", "Mail Delivery System", "hello" ou "hi" ), objets couramment utilisés par les serveurs de messagerie pour notifier une véritable erreur d'adressage de courrier électronique. Les extensions des pièces jointes peuvent être .pif, .scr, .exe, .cmd, .bat ou encore .zip (ce qui devrait, en revanche, attirer l'attention des utilisateurs, ces extensions étant fréquentes chez les virus).

Une porte dérobée et Kazaa dans le collimateur
Le virus contient également une porte dérobée qui peut permettre à ses créateurs de prendre la main à distance sur le poste touché. Il tente pour cela d'ouvrir le port TCP 3127 et, si celui-ci n'est pas disponible, il incrémente sa recherche (3128, 3129...) jusqu'au port 3198.

"D'une manière générale, la tentative de compromission d'une machine, son espionnage, sa prise en main à distance ou l'introduction d'autres outils destinés au vol d'informations confidentielles est une des tendances majeures déjà constatées fin 2001, puis en 2002 et que l'on a vue se renforcer en 2003", ajoute François Paget.

Le client Peer to Peer Kazaa est lui aussi ciblé. Une fois installé, Mydoom recherche en effet le programme Kazaa et installe de faux fichiers à partager, selon K-Otik ("winamp5", "icq2004-final", "activation_crack", "strip-girl-2.0bdcom_patches", "rootkitXP", "office_crack" et "nuke2004"). Les premières apparitions du virus ont été détectées au sein de la confédération de Russie (selon MessageLabs).

Enfin, une attaque en déni de service semble être programmée entre le 1er et le 12 février 2004, date au delà de laquelle le virus se désactivera de lui-même...

Carte d'identité de Mydomm
(alias Novarg, Mimail Q ou R)

Type : ver 32 bits, mass mailer
Taille : 22 528 Bits
Systèmes affectés : Windows 95, 98, ME, NT, 2000, XP, Windows Server 2003

Objets possibles du courriel :
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status Error
<Caractères aléatoires>
<Rien>

Messages possibles :
"Mail Transaction Failed. Partial message is available"
" The message contains Unicode characters and has been sent as a binary attachment"
" The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment"
"test"

Noms possibles pour la pièce attachée :
document
readme
doc
text
file
data
test
message
body

Extensions possibles de la pièce attachée :
.pif
.scr
.exe
.cmd
.bat
.zip

Fichiers mis à disposition dans Kazaa (extensions .pif, .scr ou .bat) :
winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004

Fichiers créés
- "shimgapi.dll", dans le dossier System (porte dérobée et serveur proxy)
- "Message", dans le dossier temp

Valeurs ajoutées aux clés de registre :
"Taskmon = taskmon.exe" ajouté à :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

"(Par défaut)" = "%System%\shimgapi.dll" ajouté à :
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32 (sources Symantec)

Clés de registre créées (sources Symantec) :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ Explorer\ComDlg32\Version
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Explorer\ComDlg32\Version

[Fabrice Deblock, JDNet]

Accueil | Haut de page

Nouvelles offres d'emploi sur Emploi Center

Auralog - Tellmemore | Publicis Modem | L'Internaute / Journal du Net / Copainsdavant | Isobar | MEDIASTAY

	Journal du Net
	Management
	Solutions
	Emploi
	Développeurs