Le virus Mydoom
se propage à très vive allure et cible SCO et Microsoft
Par JDNet Solutions (Benchmark Group) URL : http://www.journaldunet.com/solutions/0401/040128_virus_mydoom.shtml Lancer l'impression Mercredi 28 janvier 2004
Le virus Mydoom (autrement appelé Novarg ou Mimail Q ou R) est un spammeur de masse, utilisant des techniques désormais très classiques de pièces attachées trompeuses (simulant des erreurs de courriel) et ouvrant une porte dérobée pouvant servir à la prise en main distante des postes contaminés. Il se diffuse aussi via Kazaa et pourrait avoir été conçu en Russie. Sa durée de vie est courte : jusqu'au 12 février. Entre temps, une attaque en déni de service est prévue contre le site Sco.com. "Ce virus présente peu de différences avec le virus Bagle mais il semble que les premières personnes ciblées ont été mieux choisies, ce qui peut expliquer qu'il ait eu plus de "succès". De plus, il utilise une ruse assez efficace puisqu'il fait croire aux victimes que certains de leurs courriels n'ont pas pu être délivrés, ce qui incite les gens à ouvrir la pièce jointe pour voir ce qui s'est passé", précise François Paget, chercheur anti-virus chez Network Associates. Le courriel envoyé par Mydoom peut en effet avoir plusieurs objets ("Error", "Status", "Server Report", "Mail Transaction Failed", "Mail Delivery System", "hello" ou "hi" ), objets couramment utilisés par les serveurs de messagerie pour notifier une véritable erreur d'adressage de courrier électronique. Les extensions des pièces jointes peuvent être .pif, .scr, .exe, .cmd, .bat ou encore .zip (ce qui devrait, en revanche, attirer l'attention des utilisateurs, ces extensions étant fréquentes chez les virus). Le virus contient également une porte dérobée qui peut permettre à ses créateurs de prendre la main à distance sur le poste touché. Il tente pour cela d'ouvrir le port TCP 3127 et, si celui-ci n'est pas disponible, il incrémente sa recherche (3128, 3129...) jusqu'au port 3198. "D'une manière générale, la tentative de compromission d'une machine, son espionnage, sa prise en main à distance ou l'introduction d'autres outils destinés au vol d'informations confidentielles est une des tendances majeures déjà constatées fin 2001, puis en 2002 et que l'on a vue se renforcer en 2003", ajoute François Paget. Le client Peer to Peer Kazaa est lui aussi ciblé. Une fois installé, Mydoom recherche en effet le programme Kazaa et installe de faux fichiers à partager, selon K-Otik ("winamp5", "icq2004-final", "activation_crack", "strip-girl-2.0bdcom_patches", "rootkitXP", "office_crack" et "nuke2004"). Les premières apparitions du virus ont été détectées au sein de la confédération de Russie (selon MessageLabs). Enfin, une attaque en déni de service semble être programmée entre le 1er et le 12 février 2004, date au delà de laquelle le virus se désactivera de lui-même...
[Fabrice Deblock, JDNet] Pour tout problème de consultation, écrivez au Webmaster Copyrights et reproductions . Données personnelles Copyright 2006 Benchmark Group - 69-71 avenue Pierre Grenier 92517 Boulogne Billancourt Cedex, FRANCE |
|