 |
|
|
| |
|
|
| Sommaire Sécurité |
|
| Un virus poussé par la tempête |
| L'actualité a une nouvelle fois été détournée par des pirates pour répandre un cheval de Troie : Storm Worm. Cette pratique est désormais fréquente. Ouragan, guerre, morts médiatiques suscitent en effet l'intérêt.
(23/01/2007) |
|
La tempête qui a balayé l'Europe de ses bourrasques les 18 et 19 janvier a fait près d'une quarantaine de victimes. Dans une moindre mesure, elle a aussi entraîné indirectement la contamination de milliers d'ordinateurs, majoritairement parmi les particuliers. La cellule de veille de l'éditeur de sécurité F-Secure avait dès vendredi matin identifié des spams porteurs d'un cheval de Troie baptisé Storm Worm (Ver de la tempête).
Titrés en anglais "230 morts dus à une tempête en Europe", ces emails expédiés à plusieurs centaines de milliers d'adresses électroniques dans le monde dans le cadre d'une campagne de spam ont donc utilisé l'actualité comme catalyseur. Joint aux messages, le cheval de Troie Small.Dam n'attendait alors plus qu'un internaute imprudent ouvre le fichier, intitulé Full Clip.exe, Full Story.exe, Read More.exe ou Video.exe.
Le code malveillant permet une prise de contrôle à distance par le biais d'une porte dérobée. L'ordinateur infecté, intégré à un réseau de PC zombies, peut alors être utilisé ultérieurement pour diverses actions, dont le vol de données, des attaques en déni de service contre des tiers, des campagnes de spam ou de phishing. Bien que grossière, la ruse aurait permis de tromper un grand nombre d'internautes, à qui l'intitulé enjôleur de l'e-mail aurait fait abandonner toute prudence.
Pour Mikko Hypponen, directeur de recherche chez F-Secure, "ce qui rend ceci exceptionnel, c'est le caractère 'temps réel' de l'attaque". Un critère il est vrai indispensable pour maximiser les chances de leurrer les destinataires et les inciter à cliquer. Selon l'éditeur Sophos, l'importante diffusion de Storm Worm a permis dès vendredi minuit de le hisser jusqu'à 67% des programmes malicieux détectés par son réseau de surveillance. Cela représente un courriel sur 200 transitant sur Internet.
| 800 000 mails sur la mort de Milosevic et infectés par Dropper-FB expédiés |
L'utilisation de l'actualité pour répandre des virus n'a cependant rien d'une nouveauté. Les événements les plus marquants, notamment les catastrophes naturelles, sont depuis plusieurs années déjà prétextes à ce type d'attaques malveillantes. L'ouragan Katrina et le tsunami qui en 2004 frappait le Sri Lanka ont tous deux débouchés sur des campagnes de spam propageant des codes malicieux. La fibre humanitaire ou la curiosité la plus naïve sont deux failles fréquemment exploitées par les pirates.
Les dossiers politiques suscitent eux aussi un vif intérêt. La guerre en Irak est un exemple parmi d'autres. Le ver Famus.B se propageait ainsi par e-mail dans un message en anglais et en espagnol faisant référence au conflit iraquien. Il abusait les utilisateurs en prétendant détenir des images dramatiques. Le Troyen Dropper-FB affirmait quant à lui démontrer l'assassinat de l'ancien président yougoslave, Slobodan Milosevic. La firme BlackSpider estimait alors que 800 000 mails porteurs de Dropper-FB avaient rapidement été expédiés.
|
| |
| |
|
|
|
|
|
|
Dossier 