Passer au contenu

Virus : les trois vies de Slapper

Deux variantes du ver Slapper, s’attaquant aux serveurs Apache tournant sous Linux, sont apparues. L’auteur de la première version aurait été arrêté en Ukraine.

La première version de Slapper, apparue à la mi-septembre, a contaminé plus de 13 000 serveurs Linux dans le monde au cours de ces deux dernières semaines. Mais, selon les statistiques de l’éditeur d’antivirus F-Secure, le nombre de machines contaminées serait en forte diminution au fur et à mesure que les administrateurs corrigent la faille de leurs serveurs Apache.Slapper utilise un trou de sécurité présent dans le module OpenSSL, destiné à sécuriser les transactions électroniques, pour infecter les serveurs Linux.

Cinik et Unlock, deux variantes de Slapper

Deux variantes de Slapper sont apparues ces derniers jours : Slapper.B (nom de code Cinik) et Slapper.C (nom de code Unlock). Ces deux variantes utilisent la même faille de sécurité que la première souche de Slapper (Slapper.A). Par conséquent, les administrateurs qui ont appliqué des correctifs de sécurité, afin de contrer Slapper, n’ont rien à craindre des variantes Cinik et Unlock.En fait, Cinik et Unlock se distinguent du premier Slapper dans les ports de communication choisis pour se propager : les ports 1978 pour Slapper.B, 4156 pour Slapper.C au lieu de 2002 pour Slapper.A.Cinik utilise aussi un script bash stocké dans le répertoire temporaire /tmp/.cinik.go de l’arborescence Linux. Ce script analyse la configuration du système infesté avant d’envoyer ces informations par courrier électronique à l’auteur du ver.Autre originalité, Cinik a une fonction de restauration : si le ver est effacé, la machine infectée se connecte à un site Internet roumain afin de télécharger le code de Slapper.B pour se réinstaller.La variante Unlock se différencie en envoyant les adresses IP des machines infectées par courrier électronique à l’auteur du virus, probablement.

Un suspect arrêté

La société américaine de sécurité Internet Security Systems a annoncé qu’un homme de 21 ans, suspecté d’avoir écrit la première version de Slapper, avait été arrêté en Ukraine.En juillet 2001, le ver informatique Code Red avait infecté plus de 350 000 serveurs Web Microsoft IIS dans le monde. Les diverses variantes de Slapper n’ont pas atteint ce résultat mais n’en seront pas moins difficiles à éradiquer.Seul point positif : les auteurs des différentes souches de Slapper n’ont visiblement pas eu le temps d’exploiter le réseau peer-to-peer créé par les machines infectées pour lancer une attaque par déni de service. Mais, comme le code source de Slapper est disponible sur Internet, nul doute que des variantes plus néfastes apparaîtront dans les prochains mois.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Antonin Billet