Les sites Web de logiciels d'échanges de fichiers (peer-to-peer
ou P2P) eMule, eDonkey et deux autres sites proposant des "cracks",
codes permettant de faire sauter les protections logicielles,
ont succombé jeudi 8 avril, aux attaques en déni de service
en cascade de Netsky.Q, variante du ver le plus actif en mars.
Sur les cinq sites qu'il est programmé pour attaquer jusqu'au
11 avril, Netsky.Q n'a pas encore réussi à mettre à genou le
site du logiciel d'échange le plus populaire : Kazaa.
Le principe de fonctionnement de ces attaques est mécanique
: il s'agit d'engorger le serveur Web de multiples requêtes
dans un court laps de temps jusqu'à ce qu'il ne puisse plus
fonctionner correctement. Simple et transparent, les utilisateurs
des machines vérolés ne distinguent aucun ralentissement significatif
par rapport à une utilisation normale.
Lancé
depuis le 29 mars sur le réseau, cette version de Netsky se
propage par un message électronique (dont l'objet est souvent
de type Re :Your Document) contenant dans un fichier joint d'une
taille fixe de 28 Ko, le code du virus. Pour contaminer l'ordinateur,
il doit attendre que le destinataire de l'e-mail ouvre le fichier
joint ou exploite une ancienne faille d'Internet Explorer lui
permettant d'exécuter du code lorsque le message électronique
est visualisé, la pièce jointe devenant inutile.
Une fois, l'ordinateur pris au piège, il utilise son propre
moteur SMTP pour se dupliquer et envoie un message à toutes
les adresses Internet qu'il a pu trouver en scannant les fichiers
de l'ordinateur contaminé. Selon l'éditeur d'anti-virus Trend
Micro, cette variante aurait contaminé jusqu'à présent un
peu plus de 72 000 ordinateurs à travers le monde.
Après le 11 avril, date à laquelle Netsky.Q va cesser ses
attaques, une relève est déjà prévue : Netsky.R puis Netsky.S
lanceront leurs attaques du 12 au 16 avril pour Netsky.R puis
du 14 au 23 avril pour la version S. Ces deux dernières versions
du virus viseront également les portails des logiciels peer-to-peer
(dont Kazaa et eMule) et les sites mettant à disposition des
"cracks". Selon les statistiques fournies par Trend Micro,
les dernières versions du ver Netsky (R et S) représentent
une contamination moins importante que Netsky.Q.
Mais si ce virus fait couler beaucoup d'encre, la dangerosité
de ses variantes Q, R et S reste à mesurer. D'une part, ils
n'attaquent que les sites portails des logiciels d'échanges
mais n'altèrent pas le bon fonctionnement ni des serveurs
permettant le partage de fichiers, ni des machines infectés.
D'autre part, les responsables des sites eMule et eDonkey
avaient anticipé l'attaque en établissant des sites miroirs
disponibles à une autre adresse Internet que celle visée par
le virus, leurs portails sont donc toujours disponibles aux
visiteurs.
|