|
|
SECURITE |
Virus: Wallon cherche la faille, Dabber la trouve à l'aide de Sasser |
Deux virus apparus en fin de semaine dernière affichent des objectifs bien différents : l'un est conçu pour prendre le contrôle des navigateurs, l'autre ouvre une porte arrière sur les systèmes infectés par... Sasser.
(17/05/2004) |
|
Découvert jeudi dernier, Dabber tire partie du composant de transport (FTP) de
Sasser (voir l'article
publié le 04/05/2004) pour se déplacer d'ordinateur en ordinateur. Selon la
plupart des observateurs, l'exploitation d'une "faille" d'un virus existant par
un autre code malicieux constitue un phénomène sans précédent.
Un constat qui pourrait en rassurer plus d'un car il tendrait à prouver que Dabber
restera circonscrit aux seuls systèmes infectés par Sasser, ce qui représente
néanmoins 3% du parc mondial de machines.
En
tout état de cause, l'originalité de Dabber semble s'arrêter là. Les mécanismes
qu'il met en oeuvre une fois installé sont en effet assez proches de ceux d'autres
virus, tels que MyDoom, Netsky ou Bagle. Comme ces derniers, il est conçu pour
détruire certains vers (Sasser notamment) présents sur les PC infectés, avant
de se servir de ces derniers comme machines relais en vue de d'atteindre d'autres
terminaux. Autre action lancée par Dabber : l'ouverture d'une porte arrière (par
le port 9898) pouvant permettre de lancer des attaques par déni de service.
Découvert quelques heures après Dabber, Wallon présente un
mode de fonctionnement radicalement différent. Entrant dans la catégorie
des virus de type mass mailer, il intègre un serveur SMTP pour se
diffuser. Classiquement, il envoie ses messages à l'ensemble des adresses
électroniques présentes sur l'ordinateur infecté.
Wallon
s'attaque à Internet Explorer, Dabber à Sasser |
Les courriels ainsi envoyés ne contiennent cependant pas directement le
virus, mais une URL (masquée sous le nom d'un lien Yahoo.com au format HTML) vers
un site contrôlé par l'auteur du virus. Exploitant une faille de Windows connue
sous le nom d'object data vulnerability, cet espace Web lance ensuite le
téléchargement de l'archive du virus en local. Les actions engendrées sont la
prise en main du navigateur de l'internaute (Internet Explorer en l'occurence)
dont les adresses seront systématiquement redirigées vers certains sites Web -
notamment pornographiques.
L'activité de Wallon semblait croître en fin de semaine dernière, à la différence
de celle de Dabber qui tendait plutôt à stagner. Force est de constater que les
éditeurs d'antivirus sont partagés quant à l'évaluation de son degré de
criticité. Certains (comme Symantec, Network Associates et McAfee) le jugeant
bas, d'autres (Sophos PLC et F-Secure) le considérant beaucoup plus élevé.
|
|
|