SECURITE
Virus: Wallon cherche la faille, Dabber la trouve à l'aide de Sasser
Deux virus apparus en fin de semaine dernière affichent des objectifs bien différents : l'un est conçu pour prendre le contrôle des navigateurs, l'autre ouvre une porte arrière sur les systèmes infectés par... Sasser.  (17/05/2004)
  En savoir plus
Dossier Virus, vers, chevaux de Troie...
Découvert jeudi dernier, Dabber tire partie du composant de transport (FTP) de Sasser (voir l'article publié le 04/05/2004) pour se déplacer d'ordinateur en ordinateur. Selon la plupart des observateurs, l'exploitation d'une "faille" d'un virus existant par un autre code malicieux constitue un phénomène sans précédent.

Un constat qui pourrait en rassurer plus d'un car il tendrait à prouver que Dabber restera circonscrit aux seuls systèmes infectés par Sasser, ce qui représente néanmoins 3% du parc mondial de machines.

En tout état de cause, l'originalité de Dabber semble s'arrêter là. Les mécanismes qu'il met en oeuvre une fois installé sont en effet assez proches de ceux d'autres virus, tels que MyDoom, Netsky ou Bagle. Comme ces derniers, il est conçu pour détruire certains vers (Sasser notamment) présents sur les PC infectés, avant de se servir de ces derniers comme machines relais en vue de d'atteindre d'autres terminaux. Autre action lancée par Dabber : l'ouverture d'une porte arrière (par le port 9898) pouvant permettre de lancer des attaques par déni de service.

Découvert quelques heures après Dabber, Wallon présente un mode de fonctionnement radicalement différent. Entrant dans la catégorie des virus de type mass mailer, il intègre un serveur SMTP pour se diffuser. Classiquement, il envoie ses messages à l'ensemble des adresses électroniques présentes sur l'ordinateur infecté.

Wallon s'attaque à Internet Explorer, Dabber à Sasser
Les courriels ainsi envoyés ne contiennent cependant pas directement le virus, mais une URL (masquée sous le nom d'un lien Yahoo.com au format HTML) vers un site contrôlé par l'auteur du virus. Exploitant une faille de Windows connue sous le nom d'object data vulnerability, cet espace Web lance ensuite le téléchargement de l'archive du virus en local. Les actions engendrées sont la prise en main du navigateur de l'internaute (Internet Explorer en l'occurence) dont les adresses seront systématiquement redirigées vers certains sites Web - notamment pornographiques.

  En savoir plus
Dossier Virus, vers, chevaux de Troie...
L'activité de Wallon semblait croître en fin de semaine dernière, à la différence de celle de Dabber qui tendait plutôt à stagner. Force est de constater que les éditeurs d'antivirus sont partagés quant à l'évaluation de son degré de criticité. Certains (comme Symantec, Network Associates et McAfee) le jugeant bas, d'autres (Sophos PLC et F-Secure) le considérant beaucoup plus élevé.
 
 
Antoine CROCHET-DAMAIS, JDN Solutions
 
 
Accueil | Haut de page
 
 

  Nouvelles offres d'emploi   sur Emploi Center
Auralog - Tellmemore | Publicis Modem | L'Internaute / Journal du Net / Copainsdavant | Isobar | MEDIASTAY

Voir un exemple

Voir un exemple

Voir un exemple

Voir un exemple

Voir un exemple

Toutes nos newsletters