(Mise à jour) L'auteur présumé du ver Zotob arrêté au Maroc

S'abonner :

Newsletters

Magazines

01men.

[ SÉCURITÉ ]
(Mise à jour) L'auteur présumé du ver Zotob arrêté au Maroc
Apparu mi-août, Zotob a semé la panique dans plusieurs grandes entreprises américaines, sans faire de dégâts. Son créateur serait un jeune homme de 18 ans, soupçonné d'être associé à un réseau de fraude à la carte bancaire.

Hélène Puel , 01net., le 26/08/2005 à 17h03

Mise à jour : L'auteur présumé du ver Zotob arrêté au Maroc

Le ver de l'été n'aura pas porté chance à son auteur. Mi-août, Zotob aurait pénétré en une journée les réseaux de plusieurs grandes sociétés américaines. Sans faire de dégâts mais en installant sur leurs PC un petit programme permettant à un pirate d'en prendre le contrôle ultérieurement.

Son créateur n'aura pas eu le temps d'en profiter. Selon l'AFP, il aurait été interpellé à Rabat, au Maroc, jeudi 25 août. Le FBI avait en effet découvert que le virus provenait de ce pays. Le coupable serait un jeune Marocain de 18 ans. Selon la police locale, il était associé à un réseau de fraude à la carte bancaire.

Première publication le 17 août 2005

Le ver Zotob s'attaque aux entreprises américaines

Zotob E ou IRCbot.worm ouvre des ports IRC pour permettre un contrôle à distance des machines. Les entreprises américaines ont été les premières touchées.

Le scénario est devenu classique. Le 9 août dernier, Microsoft rendait publique une faille de sécurité affectant Windows 2000 ainsi que le correctif associé. Quelques jours plus tard, Zotob, le premier ver exploitant cette faiblesse circulait sur le Net, profitant du retard des internautes à mettre leur ordinateur à jour.

Plusieurs versions de ce parasite sont apparues. La dernière en date, baptisée Zotob E, IRCbot.worm ou encore Tilebot Z par les spécialistes en sécurité, utilise la même faille de sécurité que ses prédécesseurs, celles des fonctions Plug and Play de Windows 2000. Mais elle se montre plus pernicieuse.

A l'inverse de Zotob C qui se répand par mail, Zotob E scanne Internet à la recherche d'ordinateurs vulnérables utilisant le port TCP 445. Une fois la machine trouvée, il s'introduit et s'exécute. « Par rapport aux autres variantes de Zotob, ce dernier ver comporte une nouveauté. Il possède une fonctionnalité robot grâce à laquelle il cherche à ouvrir une cession IRC [Internet relay chat, messagerie instantanée, NDLR], permettant ainsi de prendre le contrôle à distance de l'ordinateur. IRCbot.worm ne commet aucun dommage visible. Il se propage en toute discrétion pour permettre à ses créateurs de mener une attaque ultérieure », explique François Paget, représentant en France de l'AVERT, la cellule d'alerte de l'éditeur d'antivirus Mac Afee.

Windows XP épargné

A partir du moment où il est présent sur un ordinateur, le ver scanne les adresses IP du réseau à la recherche d'autres machines non protégées. En 24 heures, plus d'une centaine de grands comptes américains dont des groupes média comme CNN, ABC News,The New-York Times, The Associated Press ont été contaminés. Les particuliers sont moins exposés que les entreprises car ils utilisent peu Windows 2000. En effet, IRCbot.worm ne constitue pas une menace pour Windows Server et Windows XP.

« Le ver va continuer de se propager dans le monde pendant quelques temps. D'autant qu'avec les vacances les entreprises vont être moins réactives pour mettre à jour les patches correctifs ainsi que leurs antivirus. Toutefois, la propagation de IRCbot.worm devrait être moins violente que celle de Sasser ou de Mydoom », analyse François Paget.

IRCbot.worm aurait déjà touché l'Europe et l'Asie, mais son action serait limitée. Mais, déjà, les éditeurs d'antivirus auraient détecté une autre version du ver, Zotob F, dont les effets ne sont pas encore connus.