Première publication le 27 janvier 2004

L ancé hier soir, le virus Mydoom se répand à grande vitesse par les messageries électroniques et Kazaa. Il doit déclencher un envoi massif de requêtes, le 1er février, pour paralyser le site de SCO.

L'attaque est conventionnelle dans son procédé, mais d'une ampleur assez impressionnante. Le virus de type ver Mydoom (également connu sous le nom de Novarg.A) circule depuis hier soir en utilisant les messageries électroniques et la plate-forme d'échanges de fichiers Kazaa, où il s'insère dans le programme de téléchargement.

Il est programmé pour déclencher, le 1 ^er  février, un envoi massif de requêtes sur le site de SCO, l'éditeur d'Unix, dans le but de provoquer un déni de service. Au programme : une connexion par seconde et par machine infectée sur www.sco.com.

On avait déjà vu ça, mais, jusque-là, ce genre d'attaque visait généralement le site de Microsoft. Un regain de popularité que SCO doit probablement aux menaces qu'il a prononcées à l'encontre des sociétés utilisatrices de Linux, accusées de violer ses brevets sur Unix.

Le virus se présente sous la forme d'un message dont l'intitulé en anglais attire l'oeil de l'utilisateur lambda : « Error », « mail transaction failed », « hi », « mail delivery system », « test », « server report », « status » ... Le message lui-même (sibyllin et en anglais également) est accompagné d'un fichier attaché (.doc, .txt, .bat, .exe, .pif, .scr...) sur lequel il ne faut absolument pas cliquer. Sur Kazaa, il est camouflé derrière des noms de fichiers populaires tels que « winamp5 », « icq », « nuke », etc.

« Le virus est programmé pour arrêter sa propagation à compter du 12 février , ajoute François Paget, chercheur antivirus chez Network Associates, mais il installe aussi une porte dérobée qui attend que l'auteur du virus prenne la main sur la machine infectée. » Pour surfer à vos frais sur Internet, spammer, exécuter d'autres fichiers, voire utiliser votre ordinateur comme relais pour lancer d'autres attaques sur d'autres serveurs.

« Ce virus se propage légèrement plus vite que SoBig, au mois d'août, note Damase Tricart, chef de produits grand public de Symantec. Nous avons enregistré 1800 soumissions depuis le début [hier soir, NDLR]. Avec SoBig, c'était 1800 soumissions en trois jours. »

Même constat de rapidité de la part de Network Associates : 20 000 e-mails infectés interceptés en une heure, contre 20 000 en trois jours pour le virus Dumaru, en septembre dernier. Mais on reste encore en deçà des performances de Bugbear , selon Symantec.

« Il existe une particularité concernant l'attachement , précise Damase Tricart. Il s'agit toujours d'un fichier joint avec une double extension. Mais entre les deux extensions, on compte un espace de soixante caractères. Ce qui fait que la deuxième extension ne se voit pas tout de suite : elle est rejetée au bout de la ligne ou en dessous. » D'où, peut-être, moins de méfiance de la part des utilisateurs, qui croient avoir affaire à un authentique fichier .doc ou autre. Ce qui peut expliquer la vitesse de diffusion.

Il reste que les moyens de s'en prémunir ne sont pas nouveaux : mettre à jour son antivirus, et éviter de double-cliquer sur un fichier inclus dans un message à l'énoncé peu clair, même si l'expéditeur est connu.

Liens utiles :

Mise à jour antivirale Networks Associates

Utilitaire gratuit de désinfection PQRemove

Antivirus gratuit Panda ActiveScan

Désinfectant F-Secure