|
|
SECURITE |
La famille de virus Netsky passe au double affichage |
La version Z a été découverte, deux mois après la première apparition du virus, faisant de cette succession de variantes l'une des plus abondantes à ce jour. Beaucoup de bruit pour pas grand chose ?
(27/04/2004) |
|
A la manière des immatriculations de véhicules, la famille de virus
Netsky arrive à la lettre Z et va poursuivre sa marche vers les lettres
AA, AB, etc... Elle aura atteint en un peu plus de deux mois la dernière
lettre de l'alphabet, soit une nouvelle variante tous les cinq jours, un rythme
particulièrement soutenu pour un virus.
Apparu
pour la première fois le 16 février 2004, le virus ne comporte pourtant
aucune innovation technologique majeure. Les raisons de cette multiplication des
versions sont encore obscures, une "guéguerre" entre concepteurs
de virus étant fréquemment évoquée, chaque camp tentant
de prouver la supériorité de sa technologie et de supprimer les
effets des virus adverses.
Avec Netsky, seule l'enveloppe change, pas le fond. On a toujours affaire plus
ou moins à des virus qui ont les mêmes fonctionnalités de mass mailing,
couplées à de la diffusion d'outils complémentaires pour réaliser
des dénis de service par exemple, avec la version Z. La particularité de
Netsky est d'utiliser des fichiers attachés au format Zip, ce qui a rarement été
vu avant. Mais rien de particulièrement spectaculaire", commente François
Paget, chercheur anti-virus chez McAfee.
Des
messages d'insulte par code interposé |
Même analyse chez Trend Micro : "De la version A à la version
Z, les bases sont les mêmes. La propagation se fait par messagerie et le social
engineering est fortement utilisé. Le spoofing d'email permet
ainsi de vous faire croire que vous recevez un mail de quelqu'un que vous connaissez.
Et les messages imitent les communications de type ICQ ou AOL Instant Messenger
(messages courts), induisant les utilisateurs en erreur", note David Kopp,
directeur du laboratoire de recherche TrendLabs EMEA de l'éditeur.
La famille Netsky, tout le monde en parle, trop selon certains, alors que seules
six ou sept variantes - parmi les 26 actuelles - ont atteint le niveau d'alerte
intermédiaire. Certains éditeurs d'anti-virus ont d'ailleurs décidé
de ne pas communiquer outre mesure sur cette succession de déclinaisons
afin de ne pas cautionner la guerre stérile que livrent ses concepteurs
à d'autres (notamment à ceux de Bagle).
Netsky.F, apparu le 3 mars 2004, tente ainsi de désactiver les virus Mydoom.A
et B, ainsi que Bagle.C, E, F, G, H et I. La version W de Netsky prévoit
quand à elle la suppression dans la base de registre Windows d'entrées
provenant de certaines variantes de Mydoom, Mimail et Bagle. Sans parler des messages
d'insultes que les auteurs s'envoient par code interposé...
Les virus Netsky fonctionnent par ailleurs avec des durées de vie prédéterminées.
Ainsi Netsky.Q, qui a attaqué les sites Web des logiciels P2P eMule et
eDonkey (lire notre article),
entre le 7 et le 12 avril derniers. Le relais a été pris par Netsky.R
puis par Netsky.S qui se sont respectivement lancés entre le 12 et le 16
avril et entre le 14 et le 23 avril. Là non plus, rien de bien original
dans le mode opératoire. |
|
|