La version C de Sobig et la version B de Bugbear rappellent que les vers et virus sont désormais capables de renaître de leurs cendres à tout moment. (Vendredi 6 juin 2003)
Certains virus ne disparaissent
jamais : des clones prennent la relève, assurant
la pérennité de ces codes malicieux au
fil des mois et des années. Deux exemples nous
le prouvent actuellement par leur diffusion fulgurante.
Le ver Sobig (version
C), tout d'abord, numéro 1 mondial sur le mois
de mai avec un total de 21,87 % des incidents viraux
(sources Kaspersky Labs) et l'inévitable Bugbear
dans sa nouvelle version B.
Une
diffusion rapide, des caractéristiques complexes
W32/Bugbear.B-mm réalise
depuis deux jours de belles "performances",
avec déjà plus de 27 000 machines
infectées dans le monde, selon MessageLabs.
Une progression étonnante dont les prémices
ont été détectés aux Etats-Unis.
A l'instar du ver Fizzer,
Bugbear version B est polymorphe et contient en lui
tous les composants lui permettant de se modifier à
chaque nouvelle génération.
Il attaque également les anti-virus - caractéristique
devenue classique aujourd'hui - et contient une liste
de noms de domaines de sociétés ou d'institutions
très connues qu'il est capable de "mystifier"
(spoofing) en leur envoyant des paquets de données
ou des messages provenant d'une vraie fausse adresse.
Bien entendu, le système est aussi capable d'aspirer
les données personnelles et confidentielles contenues
sur une machine infectée et de ménager une
porte d'accès (backdoor) à un pirate
externe.
Le
spam comme outil de propagation Quant à
Sobig C, MessageLabs en comptabilise depuis le début
du mois 128 000 manifestations à travers
le monde. La principale caractéristique de ce
ver est de s'auto-propager par envois massifs de spam,
grâce notamment à un moteur SMTP (Simple
Mail Transfer Protocol) intégré. Le ver
possède également la capacité à
détecter la présence d'adresses mail sur
un système infecté afin de leur expédier
une copie de lui-même..
Selon l'éditeur d'anti-virus
Kaspersky
Labs, Sobig C est le premier cas dans lequel les fonctions
de diffusion massives (envoi de courriers électroniques
infectés, attaque de réseaux P2P, infraction des réseaux
locaux) sont enrichies
par des technologies de spam permettant une diffusion
aussi massive.
Plus que jamais, le téléchargement des mises
à jour anti-virus s'avère indispensable
pour se protéger de codes toujours plus malicieux
et retors.
[