Trois
vers contaminent le Web, un quatrième vient en aide aux
victimes
La recrudescence de l'activité virale a été considérable ces deux dernières semaines : tandis que Blaster se répand de manière quasi invisible, Welchia vient au secours des victimes du ver. Dumaru et Sobig sont quant à eux à l'origine de taux d'infections records en quelques jours. (Jeudi 21 août 2003)
Les attaques virales se multiplient
depuis le début du mois d'août, ne laissant
aucun répit aux spécialistes de la sécurité.
En deux semaines, ceux-ci ont ainsi dû donner l'alerte
à quatre reprises, tandis que les entreprises ont
fait face à de nombreuses procédures de
"patchage".
Il semblerait en outre que les développeurs de
vers informatiques aient profité des vacances d'été
pour innover... Tandis que LovSan (aussi nommé
Blaster) se répand de manière quasi invisible,
Welchia invente le concept de ver "correctif".
Dumaru et Sobig sont quant à eux à l'origine
de taux d'infections records en quelques jours.
Microsoft
évite l'attaque de LovSan (Blaster)
Apparu
le 11 août 2003, LovSan (alias Blaster) exploite
une faille très importante des systèmes
d'exploitation Windows (voir
article). Le ver, désormais présent
sous quatre versions capables de coexister (c'est-à-dire
qu'elles peuvent infecter un ordinateur simultanément)
a contaminé plus de 600.000 postes et continue
de se répandre sur les machines non patchées.
Conçu
pour déclencher une attaque en déni de service
contre un site de l'éditeur Microsoft depuis tous
les ordinateurs infectés, LovSan avait été
signalé avec un niveau 4 d'alerte par les cabinets
de sécurité, qui craignaient un très
fort engorgement du réseau lors de l'attaque. L'attaque
du ver, programmée pour le 15 et 16 août,
a été déjouée par Microsoft,
qui a déconnecté ses serveurs et a détourné
le site visé (windowsupdate.com) vers un autre
domaine. Blaster continue néanmoins de se répandre
très rapidement à travers le réseau.
Welchia
patche ses victimes
La
famille des vers et autres virus vient de s'agrandir avec
l'apparition de Welchia. Ce ver, qui utilise la même
faille RPC que Blaster, désactive LovSan, patch
la machine infectée, puis s'auto-détruit.
"Le concept de ver bénéfique existait
déjà, comme le montre la création
de Code Bleu, un ver chargé de désactiver
le très virulent Code Red", commente Jérôme
Lahalle, membre de la cellule de veille technologique
du cabinet Lexsi. "C'est cependant la première
fois qu'un ver est conçu pour appliquer un patch
aux postes qu'il infecte".
"Si
Welchi a effectivement une action corrective, l'utilité
de ce ver reste cependant limitée", ajoute
Mr Lahalle. "Outre le fait qu'il ne s'applique qu'aux
versions de Windows éditées en anglais,
chinois et coréen, ce qui le rend inefficace en
France, il peut provoquer des disfonctionnements en s'infiltrant
sur des postes fonctionnant sous Windows NT4 et Server
2003. De plus, combattre un ver par un autre ver est une
activité illégale et ne doit en aucun cas
dispenser les utilisateurs d'appliquer le patch."
La
faille RPC de Microsoft exploitée de nouveau
Selon
Olivier Dunand, directeur technique de Lexsi, "Blaster
a suscité des vocations". Profitant de la
confusion créée par la diffusion du ver,
d'autres virus ont fait leur apparition, se faisant passer
pour un correctif de celui-ci. Le 16 août, des agences
de cyber-sécurité telles que Lexsi, F-Secure
et Symantec ont ainsi signalé l'apparition de Dumaru,
un cousin de Blaster, qui exploite la même faille
RPC que celui-ci. Une fois infiltré dans l'ordinateur,
il y dépose un cheval
de troie permettant à un pirate de prendre
le contrôle du poste.
A la différence de Blaster, ce ver se propage par
"mass mailing" sous l'adresse (dérobée)
support@microsoft.com et propose à sa victime d'installer
le programme patch.exe, faux correctif de la faille Microsoft.
Symantec affirme avoir déjà recensé
plus de 500 000 ordinateurs contaminés.
Autre
nouveauté, l'apparition, depuis mardi, d'une nouvelle
version du ver spammeur
Sobig. Selon Jérôme Lahalle, "il ne
s'agit pas d'un ver dangereux, mais la vitesse à
laquelle il se diffuse est très impressionnante.
Environ un message sur 70 contient désormais la
version Sobig.f du ver."
Les
vers, produits médiatiques ?
Selon
Jérôme Lahalle, "après plusieurs
mois d'accalmie, l'activité virale a connu une
recrudescence notable ces deux dernières semaines".
Une croissance que l'expert attribue à la découverte
d'une faille très grave des systèmes d'exploitation
Windows NT4/2000/XP et Windows Server 2003.
La médiatisation de cette faille aurait selon lui
été de nature à motiver les hackers,
toujours en quête de challenge.
Face
à la très sérieuse menace qui pèse
actuellement sur le monde Internet, l'ensemble des cabinets
de sécurité recommandent aux entreprises
comme aux particuliers de patcher leurs postes, de déconnecter
les services inutiles et de publier des notes enjoignant
les employés de ne pas ouvrir de pièces
jointes suspectes.
[