Lundi 26 janvier2004 - fin de soirée
: les premières interceptions d'un nouveau virus sont enregistrées
à travers le monde, vraisemblablement dans un premier temps au sein de
la confédération de Russie (selon MessageLabs). Emergente, la menace
n'est pas encore clairement identifiée mais les éditeurs d'anti-virus
comprennent que le code malveillant est dangereux. Le 26 janvier correspond -
hasard du calendrier ? - au premier
anniversaire du ver Slammer/Sapphire.
Mardi 27 janvier - 01h31 : le premier courrier électronique d'alerte
parvient à la rédaction du Journal du Net, il est émis par
l'éditeur d'anti-virus Kaspersky, via sa cellule européenne
European Scientific Antivirus Center (ESAC). L'alerte est classée au niveau
4, sur une échelle qui en comporte 5. Kaspersky propose un programme "nettoyeur",
au format zippé. L'éditeur annonce par ailleurs avoir mis à
jour sa base antivirale à 0h48.
27
janvier - 9h01 : c'est au tour de Trend Micro de diffuser son alerte.
L'éditeur japonais confirme que le virus est apparu le 26 janvier à
13h47 (US Pacific Time), sur la côté ouest des Etats-Unis, ce qui
correspond au 26 janvier à 22h47 (heure de Paris). La diffusion est donc
d'entrée de jeu mondiale. La base antivirale est, elle aussi, mise à
jour.
27 janvier - 9h07 : Network Associates diffuse
son alerte. Nous rentrons en contact avec François
Paget qui nous en dit un peu plus sur les caractéristiques
techniques du code en action. Au cours de la matinée
suivront les alertes de BitDefender, Panda Software et
F-Secure.
27 janvier - 12h30 : alors que paraissent les premiers articles dans la
presse (et le nôtre
à cet instant précis), déjà, nos boîtes aux
lettres se remplissent de courriels contaminés - heureusement nettoyés
par notre anti-virus -, alourdissant progressivement notre serveur de messagerie.
Dans la journée du 27, le nombre de virus interceptés au Journal
du Net passera d'une moyenne quotidienne de 700 à 24 779 virus, (soit
35 fois plus), dont 22 068 attribués au tout nouveau MyDoom.
Mercredi 28 janvier : le nombre de virus interceptés ce mercredi,
chez nous, est de 46 210, dont 44 157 pour le seul MyDoom. Le volume de courriels
traités par le serveur explose lui aussi, passant d'une moyenne journalière
de 23 000 à plus de 69 000. Une variante - MyDoom.B - est détectée.
Elle cible, outre SCO.com, le site de Microsoft. SCO offre 250 000 de dollars
de récompense à toute personne aidant à retrouver le ou les
créateurs de MyDoom. 3 millions d'interceptions ont été enregistrées
par le site de MessageLabs à ce jour.
Jeudi 29 janvier : Microsoft offre, à son tour, une prime de 250
000 dollars pour retrouver les personnes à l'origine de MyDoom.B. Network
Associates estime que 400 000 à 500 000 machines ont été
infectées jusqu'à présent dans le monde. F-Secure table de
son côté sur 100 millions de courriels contaminés. MyDoom
est en 5e place - chez MessageLabs - des virus les plus répandus depuis
qu'Internet existe.
Vendredi 30 janvier : le virus est désormais numéro 3 au
classement de MessageLabs, avec 5 millions d'interceptions, derrière Sobig.F
et Klez.H.
Dimanche 1er février : le site de SCO (www.sco.com) est, comme prévu,
attaqué par déni de service distribué et tombe, chaque machine
infectée étant programmée pour s'y connecter toutes les secondes.
SCO crée une autre adresse pour accueillir ses visiteurs : www.thescogroup.com.
A noter que http://sco.com fonctionne toujours.
Lundi 2 février : MyDoom est en passe de
battre tous les records de diffusion, se plaçant
d'ores et déjà en deuxième position
des virus les plus répandus de l'histoire informatique
: 16 millions d'interceptions par MessageLabs, en seulement
une semaine, à mi-chemin de ce qu'a réalisé
le très "célèbre" Sobig.F
(33 millions d'interceptions en 5 mois), mais déjà
loin devant Klez.H (8 millions en 20 mois). SCO.com est
toujours hors service.
L'éditeur Kaspersky communique sur le fait
que la routine d'arrêt des deux versions de MyDoom ne semble pas fonctionner
correctement, ce qui signifie que MyDoom pourrait ne pas s'arrêter, comme
prévu, le 12 février (ni le 1er mars pour la version B). Selon Marc
Blanchard, directeur du centre anti-virus européen de Kaspersky (ESAC),
la durée de vie de Mydoom pourrait s'en trouver rallongée de deux
ou trois mois... Mardi 3 février : le site de
Microsoft, visé par la variante B, sera-t-il touché ? Selon les
experts, la propagation de la version B étant insuffisante - notamment
en raison d'imperfections dans la programmation de son code - le site du géant
de Redmond devrait échapper à la tempête...