24/07/01
Le
ver Sircam est-il vraiment méchant ?
"Je
crois bien que des listes de tarifs confidentiels sont
parties chez mes client". Aucun doute, entre vendredi
et lundi, le ver connu sous le nom de "Sircam"
a suscité quelques frayeurs. Manifestement paniqués,
plusieurs lecteurs nous ont écrit, après
avoir constaté que les correspondants référencés
dans leur messagerie électronique recevaient
des courriers de leur part avec, en pièces jointes,
des fichiers semblant provenir de leur disque dur.
Apparences trompeuses
Les
apparences sont en fait trompeuses. "Si les critères
sur lesquels Sircam sélectionne les fichiers
qu'il infecte semblent assez aléatoires, une
certitude: les documents attachés aux emails
envoyés n'ont plus grand chose de commun avec
ceux stockés sur le disque dur des utilisateurs",
précise Marc Blanchard, directeur des laboratoires
européens de l'éditeur d'anti-virus Trend
Micro. Le ver copie en effet le nom du fichier dans
l'objet du message mais il remplace aussi le contenu
du document (joint au mail) par son propre code. Par
ailleurs, Sircam ajoute à leur extension d'origine
(.doc. xls ou .zip) une autre extension du type "dat",
".bat" ou encore ".pif". En résumé,
les correspondants ciblés par le ver et tentés
d'ouvrir les documents reçus seront déçus
et ne feront que faciliter la propagation du ver. Dernière
précision: les documents sélectionnés
par le ver sont, eux, perdus.
Si le niveau de diffusion de Sircam laisse suspecter
que des dérivés ont fait leur apparition,
les éditeurs précisent toutefois que nous
sommes encore loin du niveau de propagation d'un virus
comme "I Love You". Autre précision,
pas inutile vu quelques appels reçus sur les
lignes de support: Sircam n'a aucun rapport avec "Code
Red".
Mélange détonnant
: ver + attaque par déni de service
Là encore, il s'agit d'un ver mais qui profite
cette fois d'une faille dans les serveurs fonctionnant
sous Windows 2000 et Internet Information Server. Apparemment,
le ver s'active uniquement sur les versions américaines
de la plate-forme. L'objectif ultime de "Code Red"
semble être d'orchestrer une attaque par déni
de services sur les serveurs web de la Maison Blanche.
A cette fin, les serveurs infectés envoient sur
les adresses cibles de gros volumes de données.
Selon la presse américaine, 15 000 serveurs auraient
été infectés et chaque infection
génèrerait 400 Mo de données. Découvert
avant qu'il ne se développe, le "feu"
allumé par "Code Red" a pu être
partiellement maîtrisé. Assez pour éviter
un écroulement du réseau. "Code Red"
a toutefois donné un aperçu de ce que
pouvait créer la combinaison d'un ver et d'un
mécanisme d'attaque par déni de service.
Une menace sans doute plus inquiétante que celle
des vers "classiques" comme Sircam et qui
laisse craindre
une rentrée assez chaude...
|