Signalé par Kapersky Labs, le premier, le ver de réseau Bizex ne se distingue
pas seulement de ses acolytes par le choix de son mode de propagation qui repose
uniquement sur le système de messagerie instantanée ICQ.
Car Bizex dispose aussi d'un autre objectif : recueillir des informations confidentielles
en ciblant des sites de banque. De quoi alimenter la crainte autour de la cybercriminalité,
alors qu'une étude menée par la police britannique auprès de grandes entreprises
indique que 83% d'entre elles ont été touchées par le phénomène en 2003 en Grande-Bretagne,
pour un coût total supérieur à 195 millions de livres sterling (290 millions d'euros).
Propagation
par ICQ
Le mode de fonctionnement de Bizex est très simple. Il envoie un nouveau message
à destination d'un utilisateur ICQ (logiciel de messagerie instantanée) dans lequel
celui-ci est invité à visiter l'adresse d'un site internet humoristique. A cette
adresse, une vidéo de Joe Cartoon, un auteur américain de dessins animés, est
proposée au visiteur.
Pendant le chargement de l'animation, un code java malicieux utilise deux failles
pour s'infiltrer sur le poste du visiteur. L'une de ses failles de sécurité provient
d'Internet Explorer, l'autre de Windows. Une fois exploitées, un fichier est téléchargé
sur l'ordinateur qui, par le biais d'un appel à une application distante, va exécuter
le fameux code.
Et pendant ce temps... Mydoom.F,
Netsky.C
|
>>
Une nouvelle version du virus Mydoom, Mydoom.F, se propage via les courriels.
Elle cherche à lancer une attaque de "déni de service" (saturation des sites les
rendant inaccessibles) qui pourrait concerner les sites internet de Microsoft
ou de l'association américaine de l'industrie du disque (RIAA), selon un communiqué
de la firme de recherches Sophos. Mydoom.F se propage en envoyant des messages
avec plusieurs objets et noms de pièces jointes possibles. Une fois en place sur
la machine, il a la capacité de détruire les fichiers audios, vidéos, images,
les documents Word et Excel ainsi que les bases de données Access.
>> Par ailleurs, une nouvelle
variante (C) du ver Netsky "atteint les ordinateurs via un e-mail
dont le sujet, le corps de message et le fichier attaché sont choisis aléatoirement
dans une longue liste d'options possibles. Lorsque le fichier attaché est exécuté,
Netsky.C se recopie sur tous les disques de l'ordinateur sous le nom WINLOGON.EXE.
Il se propage en envoyant une copie de lui-même à toutes les adresses e-mail qu'il
trouve dans les fichiers portant l'extension .eml, .txt, .php, .pl, .htm, .html,
.vbs, .rtf, .uin, .asp, .wab, .doc, .adb, .tbb, .dbx, .sht, .oft, .msg, .shtm,
.cgi, et .dhtm stockés sur l'ordinateur. Il procède en utilisant son propre moteur
SMTP. Le ver se recopie également sous un large éventail de noms dans tous les
répertoires de l'ordinateur dont le nom contient la séquence de caractères shar'.
En procédant de la sorte, il peut également se propager via les applications P2P
de partage de fichiers comme KaZaA. Netsky.C a été conçu pour émettre une séquence
spécifique de sons dans les hauts parleurs de l'ordinateur affecté, le 26 février
entre 6H00 et 8H59. Enfin, ce ver crée plusieurs entrées dans le registre Windows
pour s'assurer qu'il sera exécuté à chaque fois que l'ordinateur infecté sera
démarré. Par ailleurs, il supprime toutes les entrées qui ont pu être créée par
d'autres codes malicieux comme Mydoom.A et Mimail.T" (source : PandaLabs)
|
Le ver commence alors véritablement son travail. Il se crée un espace
dans le répertoire système de Windows et dans la clé du registre
Windows. Ainsi, Bizex sera chargé dans la mémoire de l'ordinateur
à chaque démarrage du système d'exploitation.
Protégé, il peut songer à se répliquer. Le ver
accède à ses bibliothèques systèmes lui permettant
d'accéder à la liste des contacts ICQ de l'utilisateur infecté
et d'envoyer à tous ses membres, l'adresse du site où le ver les
attend
Un objectif : l'accès aux informations personnelles et
bancaires
Là où Bizex devient dangereux, c'est qu'il recherche sur le poste
où il a été installé, toutes données relatives
à un système de paiement en ligne et les envoie vers un serveur
anonyme.
Les systèmes concernés jusqu'à présent sont ceux
du Crédit Lyonnais, de la Wells Fargo, d'American Express, de la Lloyds,
de Bred.fr, d'E-gold et de Barclaycard. L'autre possibilité du ver est
d'intercepter les informations transmises par le protocole HTTPS (protocole http
sécurisé) et les paramètres d'identifications aux services
de courrier électronique.
"Le ver Bizex peut être également vu comme un proof of the
concept car sa méthodologie de propagation qui s'appuie uniquement par
ICQ, nous montre bien que le monde de l'underground recherche clairement de nouveaux
vecteurs de propagations autre que le courrier électronique pour les propagations
des futurs codes mobiles", déclare Marc Blanchard, Directeur du centre
anti-virus européen de Kaspersky Labs.
Impact à tempérer ?
L'impact de ce nouveau virus informatique est toutefois à mesurer. Le site vers
lequel pointait le message ICQ est maintenant fermer, tandis que Kaspersky estime
à 50 000 le nombre de postes infectés dans le monde.
Toutefois, l'événement survient alors que se tenait à Londres le congrès e-Crime,
congrès qui a notamment vu David Aucsmith, responsable de la technologie de la
division sécurité et technologie de Microsoft, mettre l'accent sur le fait que
"les pirates informatiques s'attaqueront de plus en plus souvent aux systèmes
bancaires, aux payes des entreprises et aux transactions financières pour détourner
des fortunes " (cité par Reuters).
Au delà des vers type Bizex, la plupart des grandes banques britanniques, selon
la National Hi-Tech Crime Unit (NHTCU) britannique, et cinquante entreprises en
2003, ont déjà été touchées par une arnaque de type "phishing" (voir l'article)
: Barclays, Lloyds TSB et NatWest, notamment.
|