Journal du Net > Solutions >  Le ver Sircam est-il vraiment méchant ?
Article
 
24/07/01

Le ver Sircam est-il vraiment méchant ?

  Envoyer Imprimer  

"Je crois bien que des listes de tarifs confidentiels sont parties chez mes client". Aucun doute, entre vendredi et lundi, le ver connu sous le nom de "Sircam" a suscité quelques frayeurs. Manifestement paniqués, plusieurs lecteurs nous ont écrit, après avoir constaté que les correspondants référencés dans leur messagerie électronique recevaient des courriers de leur part avec, en pièces jointes, des fichiers semblant provenir de leur disque dur.

Apparences trompeuses
Les apparences sont en fait trompeuses. "Si les critères sur lesquels Sircam sélectionne les fichiers qu'il infecte semblent assez aléatoires, une certitude: les documents attachés aux emails envoyés n'ont plus grand chose de commun avec ceux stockés sur le disque dur des utilisateurs", précise Marc Blanchard, directeur des laboratoires européens de l'éditeur d'anti-virus Trend Micro. Le ver copie en effet le nom du fichier dans l'objet du message mais il remplace aussi le contenu du document (joint au mail) par son propre code. Par ailleurs, Sircam ajoute à leur extension d'origine (.doc. xls ou .zip) une autre extension du type "dat", ".bat" ou encore ".pif". En résumé, les correspondants ciblés par le ver et tentés d'ouvrir les documents reçus seront déçus et ne feront que faciliter la propagation du ver. Dernière précision: les documents sélectionnés par le ver sont, eux, perdus.

Si le niveau de diffusion de Sircam laisse suspecter que des dérivés ont fait leur apparition, les éditeurs précisent toutefois que nous sommes encore loin du niveau de propagation d'un virus comme "I Love You". Autre précision, pas inutile vu quelques appels reçus sur les lignes de support: Sircam n'a aucun rapport avec "Code Red".

Mélange détonnant : ver + attaque par déni de service
Là encore, il s'agit d'un ver mais qui profite cette fois d'une faille dans les serveurs fonctionnant sous Windows 2000 et Internet Information Server. Apparemment, le ver s'active uniquement sur les versions américaines de la plate-forme. L'objectif ultime de "Code Red" semble être d'orchestrer une attaque par déni de services sur les serveurs web de la Maison Blanche. A cette fin, les serveurs infectés envoient sur les adresses cibles de gros volumes de données. Selon la presse américaine, 15 000 serveurs auraient été infectés et chaque infection génèrerait 400 Mo de données. Découvert avant qu'il ne se développe, le "feu" allumé par "Code Red" a pu être partiellement maîtrisé. Assez pour éviter un écroulement du réseau. "Code Red" a toutefois donné un aperçu de ce que pouvait créer la combinaison d'un ver et d'un mécanisme d'attaque par déni de service. Une menace sans doute plus inquiétante que celle des vers "classiques" comme Sircam et qui laisse craindre une rentrée assez chaude...


JDN Solutions Envoyer Imprimer Haut de page

Sondage

Votre entreprise évolue-t-elle vers une informatique bimodale ?

Tous les sondages