|
| |
| SECURITE |
| MyDoom.M : pas plus méchant, plus intelligent |
| Quatre moteurs de recherche de premier plan, bombardés de requêtes, ont été fortement ralentis lundi. La collaboration entre spammeurs et créateurs de virus se fait de plus en plus étroite.
(28/07/2004) |
|
 |
En savoir plus |
|
 Dossier  Virus |
En digne successeur de MyDoom.F - qui avait semé la panique au début de l'année (lire l'article du 28/03/2004) - MyDoom.M (ou MyDoom.N ou .O selon les éditeurs d'antivirus) se propage rapidement. Il est considéré par ces derniers comme une menace moyenne.
Symantec recense en moyenne une centaine d'infections par heure depuis l'apparition du ver lundi 26 juillet et une étude de Keynote Systems fait état d'une baisse de 1,5% de la disponibilité moyenne des 40 principaux sites mondiaux.
L'innovation de cette dernière version est de se servir de 4 des principaux moteurs de recherche mondiaux - Google, Yahoo, Lycos et Altavista - pour collecter les adresses de courrier électronique auxquelles le ver envoie par la suite une copie de lui-même.
Le résultat a été immédiat : le fonctionnement de ces 4 sites s'est vu passablement ralenti lundi en fin de journée, certaines recherches étant même refusées, le nombre de requêtes simultanées autorisées ayant été revu temporairement à la baisse.
| Une collaboration donnant-donnant entre spammeurs et créateurs de virus |
Le virus est, pour le reste, conforme aux autres caratéristiques de sa lignée : serveur SMTP intégré, ouverture d'une backdoor (porte dérobée) et code modulaire, c'est-à-dire modifiable à distance, soit par son créateur, soit si une autre version est détectée.
Mais les aspects techniques ne sont désormais plus qu'une des multiples composantes d'un virus, le social engineering prenant une place de plus en plus importante dans le succès d'une propagation virale. Selon Marc Blanchard - directeur du centre européen de recherche antivirus de Kaspersky Labs - les évolutions incessantes dans les techniques visant à provoquer l'ouverture du fichier contenant le ver sont le fruit d'une collaboration soutenue entre spammeurs et créateurs de programmes malveillants. Les créateurs prennent en charge la partie technique, mais leurs outils évoluent peu. En échange, les spammeurs "fournissent leurs compétences intellectuelles", à savoir leur expérience en termes d'analyse comportementale.
C'est ainsi que
MyDoom.M, outre les classiques sujets de type "adress not found", tente - et il y réussit souvent - de se faire passer pour un message du service informatique avertissant de la présence d'un virus sur la machine. "L'adresse du destinataire est reprise dans le corps du message, pour personnaliser davantage l'email", fait remarquer Damase Tricart, chef de produit chez Symantec.
| 50 nouveaux programmes "malins" par jour |
Bien sûr, cette collaboration est du donnant-donnant. Pour Marc Blanchard, les spammeurs
doivent parvenir à
envoyer au moins 60 millions de messages par
jour pour toucher entre 100 000 et 600 000 victimes, et viser un chiffre d'affaires d'un million d'euros.
La
collaboration avec les auteurs de virus leur permet de renouveler un épais carnet d'adresses et de disposer de serveurs relais sur des réseaux d'entreprises par ailleurs irréprochables (lire l'article du 06/02/2003) : "le pare-feu est berné à partir du moment où la connexion est demandée de l'intérieur, si les bonnes règles ne sont pas en place".
Ces motivations commerciales
et ces alliances expliquent aussi le véritable décollage de l'activité virale en 2004. Du coup, les éditeurs de solutions de sécurité montent en régime à leur tour. Par exemple, les laboratoires de Kaspersky mettent à jour leurs listes de signatures toutes les deux heures et
se préparent à des actualisations horaires à partir de la
rentrée. Il faut dire que ce sont en moyenne 50 nouveaux programmes malfaisants qui apparaissent chaque jour. Cette activité historiquement élevée devrait permettre au nombre de menaces identifiées (vers, logiciels espions, chevaux de Troie, etc...) de dépasser la barre des 100 000 au second semestre.
|
En savoir plus |
|
| Dossier Virus |
2004 est déjà une année record en termes de virus : selon une étude publiée par McAfee, 31 menaces, moyennes ou hautes ont été identifiées depuis le début de l'année, contre 20 en 2003.
Malheureusement, le record pourrait ne pas tenir longtemps.
|
|
|
 |
