C'est dans les vieux pots qu'on fait la meilleure soupe
Pots, ou bots ? C'est en tout cas un proverbe que se fait fort d'appliquer, à l'octet près, ce programme malveillant destiné à transformer un ordinateur en PC "zombie" : Spybot n'est toutefois pas un inconnu pour les experts de la sécurité antivirale. Sa première apparition remonte déjà à 2003. Il a depuis donné naissance à une longue lignée. Au premier semestre 2006, on dénombrait plus de 43 000 variantes de ce bot.
Et pour commettre son forfait digne d'un scénario de George A. Romero, Spybot.acyr tire profit de sept vulnérabilités distinctes. Si ce rejeton d'une fratrie pléthorique fait l'objet d'une alerte de Symantec, c'est en raison de l'une des failles exploitée par ce dernier pour se répandre actuellement parmi les établissements scolaires.
Ainsi, parmi les vulnérabilités exploitées figure une faille du moteur antiviral Symantec datant déjà de 6 mois, et corrigée depuis. Les produits Client Security et AntiVirus sont notamment affectés. En ce qui concerne Windows, les failles ne sont guère non plus de la première fraicheur. La plus ancienne remonte en effet à 2003. Quant à la plus récente, elle est apparue en août 2006. Mais quelle que soit la vulnérabilité, toutes ont bénéficié de correctifs de la part de Microsoft.
C'est une hausse du trafic sur le port 2967 en lien avec les domaines .edu qui a alerté Symantec. Le SANS Institute et le Research and Education Networking Information Sharing and Analysis Centre (REN-ISAC) dressent eux aussi le même constat en notant une activité anormale sur le port utilisé par Symantec AntiVirus Corporate Edition. Selon toute vraisemblance, il s'agit d'établissements scolaires ayant tardé à appliquer la rustine de l'antivirus.
| Des établissements moins rigoureux dans l'application de la politique de sécurité |
A l'heure actuelle, 30 postes seraient notamment concernés dans une Université de l'Arkansas et 150 au sein de l'université de New South Wales en Australie. Selon le SANS et le REN-ISAC, plus de 1000 systèmes seraient déjà compromis. Ce sont donc autant d'ordinateurs qui rejoignent un réseau de PC zombies ou botnet.
Une fois le bot installé, il ouvre une porte dérobée et établit une connexion IRC. Par ce biais, le pirate peut prendre le contrôle à distance du PC zombi et exécuter des commandes à l'insu de son propriétaire. Les botnets sont généralement utilisés pour lancer des attaques de type DoS (déni de service) ou relayer du spam. Ils peuvent également permettre de dérober des données ou installer des spywares et adwares.
Toutefois, si pour l'heure les cibles sont essentiellement situées dans des réseaux informatiques du monde éducatif, rien dans le code de Spybot.acyr ne permet de penser qu'il ait été conçu spécifiquement à cette fin. Selon les experts, ce sont avant tout des politiques de sécurité moins rigoureuses, notamment en ce qui concerne la mise à jour des applications critiques, qui sont en cause.
|
Enquête 