 |
En
savoir plus |
|
Dossier 
Virus |
Zafi.D est une variante de la famille Zafi, une branche de virus
qui se caractérise par l'envoi de messages électroniques en
masse, apparue dans la journée du mardi 14 décembre avec une
vitesse de propagation très forte durant les premières heures.
Il se transmet par e-mail et transmet le message "joyeux noël"
dans la langue du système d'exploitation de la machine ciblée
ainsi qu'une image au format GIF et un fichier joint.
"Pendant les premières heures de sa découverte, le ver Zafi.D
représentait de 60 à 70% des alertes et encore aujourd'hui
il en représente environ 50%. C'est un ver qui va continuer
à se propager car il a atteint une certaine masse critique,
mais plus au même rythme car les protections sont disponibles",
déclare Michel Lanaspeze, directeur marketing chez Sophos
France. Sa forte vitesse de transmission s'explique par deux
facteurs principaux : son multilinguisme et la période de
noël propice aux envois de courriers de ce type.
Pourtant
le principe même du ver est bien connu. Une fois que l'internaute
clique sur le lien inclut dans le mail, le client Zafi.D se
copie dans le répertoire système de Windows sous plusieurs
noms aléatoires puis dans les répertoires "share", "upload"
ou "music" et modifie certaines clés de registre Windows.
Une fois cette action réalisée, le ver ouvre le port 8181
du poste contaminé, collecte les différentes adresses e-mails
enregistrés sur le poste client via les fichiers de type htm,
txt, php, asp et wab notamment.
Intégrant son propre moteur SMTP, le virus peut alors continuer
sa propagation en distribuant ses messages de noël. "Le virus
n'est pas destructeur mais il laisse une porte ouverte sur
le système. C'est une tendance de fond que l'on observe cette
année.", indique Michel Lanaspeze. Tous les systèmes Windows
sont concernés par Zafi.D, même ceux dotés du service pack
2 de Windows XP, le seul moyen de s'en débarrasser est de
mettre à jour son antivirus.
"Même si le principe de l'ingénierie sociale est bien connu,
ce sont les vieux trucs qui marchent le mieux. Il faut constamment
sensibiliser les utilisateurs aux bonnes pratiques. Pour les
entreprises, il est envisageable de limiter les exécutables
qu'il est possible de se transmettre via la messagerie électronique.",
recommande Michel Lanaspeze. Les fichiers joints transmis
dans le courrier ont un poids de 11 Ko, un nom de type "postcard",
"link", "index" ou "christmas" et une extension pif, bat,
com, zip ou cmd.
|
En
savoir plus |
|
|
Dossier
Virus |
"La vitesse de propagation de Zafi.D prouve que des gens
ne mettent pas encore régulièrement leurs antivirus à jour.
Il ne s'agit pas forcément de minutes mais mettre à jour son
système au moins une fois par jour pourrait éviter de tels
phénomènes.", conclut Michel Lanaspeze. Une précaution
nécessaire, les pirates s'appuyant de plus en plus
sur des réseaux de PC zombies pour relayer leurs attaques
à distance (lire l'article
du 23/09/2004).
|
