Le
virus Mydoom se propage à très vive allure
et cible SCO et Microsoft
En 24 heures, la propagation de ce nouveau virus est très rapide. Rien de nouveau dans sa technologie mais beaucoup plus de ruse. (Mercredi 28 janvier
2004)
En 48 heures, plus de 3 millions d'interceptions ont
été enregistrées par le site de MessageLabs,
un record dans l'histoire des virus ! Les derniers
chiffres dépassent les 5 millions d'interceptions.
Selon F-Secure, entre 300 000 et 500 000 machines seraient
touchées dans le monde.
Le virus Mydoom (autrement appelé Novarg ou Mimail Q ou R) est un spammeur
de masse, utilisant des techniques désormais très classiques de
pièces attachées trompeuses (simulant des erreurs de courriel) et
ouvrant une porte dérobée pouvant servir à la prise en main
distante des postes contaminés.
Il se diffuse aussi via Kazaa et pourrait avoir été conçu
en Russie. Sa durée de vie est courte : jusqu'au 12 février. Entre
temps, une attaque en déni de service est prévue contre le site
Sco.com.
MyDoom
: les
derniers chiffres
Selon F-Secure, plus de 100 millions
de courriels auraient été infectés
en moins de 36 heures. La version B de MyDoom est apparue le
28/01. Elle vise SCO.com et Microsoft.com. Elle
désactive par ailleurs les principaux logiciels
anti-virus du marché. 1 courriel sur 3 dans le monde est contaminé
par le virus. A ce ryhtme, MyDoom surpasse largement
le virus Sobig.
Un virus plus rusé que les
précédents "Ce virus présente peu de
différences avec le virus Bagle
mais il semble que les premières personnes ciblées ont été mieux
choisies, ce qui peut expliquer qu'il ait eu plus de "succès".
De plus, il utilise une ruse assez efficace puisqu'il fait croire aux victimes
que certains de leurs courriels n'ont pas pu être délivrés,
ce qui incite les gens à ouvrir la pièce jointe pour voir ce qui
s'est passé", précise François
Paget, chercheur anti-virus chez Network
Associates.
Le courriel envoyé par Mydoom peut
en effet avoir plusieurs objets ("Error", "Status", "Server
Report", "Mail Transaction Failed", "Mail Delivery System",
"hello" ou "hi" ), objets couramment utilisés par les
serveurs de messagerie pour notifier une véritable erreur d'adressage de
courrier électronique. Les extensions des pièces jointes peuvent
être .pif, .scr, .exe, .cmd, .bat ou encore .zip (ce qui devrait, en revanche,
attirer l'attention des utilisateurs, ces extensions étant fréquentes
chez les virus).
Une
porte dérobée et Kazaa dans le collimateur Le virus contient également une
porte dérobée qui peut permettre à ses créateurs de prendre la main
à distance sur le poste touché. Il tente pour cela d'ouvrir le port
TCP 3127 et, si celui-ci n'est pas disponible, il incrémente sa recherche
(3128, 3129...) jusqu'au port 3198.
"D'une manière générale, la tentative de compromission d'une machine, son
espionnage, sa prise en main à distance ou l'introduction d'autres outils destinés
au vol d'informations confidentielles est une des tendances majeures déjà constatées
fin 2001, puis en 2002 et que l'on a vue se renforcer en 2003", ajoute François
Paget.
Le client Peer to Peer Kazaa est lui aussi
ciblé. Une fois installé, Mydoom recherche en effet le programme
Kazaa et installe de faux fichiers à partager, selon K-Otik
("winamp5", "icq2004-final", "activation_crack",
"strip-girl-2.0bdcom_patches", "rootkitXP", "office_crack"
et "nuke2004"). Les premières apparitions du virus ont été
détectées au sein de la confédération de Russie (selon
MessageLabs).
Enfin, une attaque en déni de service semble être programmée
entre le 1er et le 12 février 2004, date au delà de laquelle le
virus se désactivera de lui-même...
Carte
d'identité de Mydomm
(alias Novarg, Mimail Q ou R)
Type : ver 32 bits, mass
mailer Taille : 22 528 Bits Systèmes affectés : Windows 95, 98, ME, NT, 2000, XP, Windows
Server 2003
Objets possibles du courriel :
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status Error
<Caractères aléatoires>
<Rien>
Messages possibles :
"Mail Transaction Failed. Partial message is available"
" The message contains Unicode characters and has been sent as a binary attachment"
" The message cannot be represented in 7-bit ASCII encoding and has been
sent as a binary attachment"
"test"
Noms possibles pour la pièce attachée :
document
readme
doc
text
file
data
test
message
body
Extensions possibles de la pièce attachée :
.pif
.scr
.exe
.cmd
.bat
.zip
Fichiers mis à disposition dans Kazaa (extensions .pif, .scr ou
.bat) :
winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004
Fichiers créés
- "shimgapi.dll", dans le dossier System (porte dérobée et serveur proxy)
- "Message", dans le dossier temp
Valeurs ajoutées aux clés de registre :
"Taskmon = taskmon.exe" ajouté à :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
"(Par défaut)" = "%System%\shimgapi.dll" ajouté à :
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
(sources Symantec)