Le ver, qui selon les experts en sécurité se propage actuellement sur Internet, exploite une faille critique dans le Server Service des systèmes Windows. Il s'agit d'une variante d'un ver existant, Mocbot, doté de capacités étendues (lire la brève du 24/08/2006). Microsoft avait publié le 8 août dernier un correctif afin de corriger cette vulnérabilité (MS06-040).
Toutefois, les jours qui suivent la publication des bulletins de sécurité de Windows sont généralement l'occasion pour les pirates de créer des attaques. La finalité en est simple : prendre de vitesse les utilisateurs ne mettant pas rapidement à jour leur poste de travail. Plusieurs attaques ont donc été détectées depuis le 8 août. Parmi les vers en question : Mocbot. Symantec dénombre actuellement 6 variantes de ce code malveillant.
Ce cheval de Troie vise principalement à faire de l'ordinateur infecté, un relais de spam ou PC zombies, ou à lancer des attaques en déni de service. Cependant, en installant à l'insu de l'utilisateur une portée dérobée, il permet également au pirate de prendre le contrôle du poste, d'y copier d'autres codes malveillants et de dérober des données.
La nouvelle mouture du ver exploite non seulement la vulnérabilité MS06-040, mais une fois installée sur un poste, elle tente de se propager grâce à d'autres failles critiques corrigées par Microsoft en 2004 et 2005.
De plus, signale Symantec, le ver est capable de se répandre par le biais des réseaux de messagerie instantanée, tels que Yahoo Messenger, AOL, ICQ ou MSN, en envoyant un lien piégé à un autre utilisateur du service. Enfin, il se copie dans les dossiers partagés et les serveurs Microsoft SQL.
Tous les ordinateurs équipés d'une édition de Windows non-patchée sont concernés. Toutefois, la menace est plus élevée sur les éditions anciennes du système d'exploitation, comme Windows NT, Me, 95 et Windows 98 qui contrairement à XP, ne bénéficient pas d'un correctif. Plusieurs rapports concerneraient d'ailleurs des postes sous Windows NT, victimes de ce ver.
| Des postes sous Windows NT victimes d'attaques |
Sur la base d'alertes en provenance de plusieurs autres services de monitoring des menaces, dont le Sans Internet Storm Center, Symantec a fait progresser son niveau de menace à 2, sur une échelle qui en compte 4. Ce seuil d'alerte s'applique "en cas d'attaque anticipée ou réelle sans élément déclencheur spécifique ou lorsque du code malveillant atteint un niveau de risque moyen", précise la firme sur son site Internet.
Cependant, les experts s'accordent pour qualifier l'attaque de faible. En effet, la majorité des antivirus dont les signatures ont été mises à jour suffise à enrayer la propagation du virus.
Prudence néanmoins puisque McAfee a identifié un bot ayant, en plus de la capacité de dérober des identifiants de connexion à divers services en ligne (eBay, PayPal, Western Union and WorldPay), celle de désactiver des logiciels de sécurité, tels que l'antivirus et l'antispyware.
Quant à Microsoft, il déclare ne pas constater de hausse significative dans l'activité des codes malveillants depuis la publication de son bulletin MS06-040. Un avis que ne partage absolument pas CipherTrust, qui notait au contraire une augmentation de 23% du nombre de PC zombies. Une hausse imputable au ver Mocbot et à ses différentes déclinaisons.
|
Dossiers