Première publication le 17 août 2005Le ver Zotob s’attaque aux entreprises américainesZotob E ou IRCbot.worm ouvre des ports IRC pour permettre un contrôle à distance des machines. Les entreprises américaines ont été les premières touchées.Le scénario est devenu classique. Le 9 août dernier, Microsoft rendait publique une faille de sécurité affectant Windows 2000 ainsi que le correctif associé. Quelques jours plus tard, Zotob, le premier ver exploitant cette
faiblesse circulait sur le Net, profitant du retard des internautes à mettre leur ordinateur à jour.Plusieurs versions de ce parasite sont apparues. La dernière en date, baptisée Zotob E, IRCbot.worm ou encore Tilebot Z par les spécialistes en sécurité, utilise la même faille de sécurité que ses prédécesseurs, celles des
fonctions Plug and Play de Windows 2000. Mais elle se montre plus pernicieuse.A l’inverse de Zotob C qui se répand par mail, Zotob E scanne Internet à la recherche d’ordinateurs vulnérables utilisant le port TCP 445. Une fois la machine trouvée, il s’introduit et s’exécute.
‘ Par rapport aux autres variantes de Zotob, ce dernier ver comporte une nouveauté. Il possède une fonctionnalité robot grâce à laquelle il cherche à ouvrir une cession
IRC [Internet relay chat, messagerie instantanée, NDLR], permettant ainsi de prendre le contrôle à distance de l’ordinateur. IRCbot.worm ne commet aucun dommage visible.
Il se propage en toute discrétion pour permettre à ses créateurs de mener une attaque ultérieure ‘, explique François Paget, représentant en France de l’AVERT, la cellule d’alerte de l’éditeur d’antivirus Mac Afee.
Windows XP épargné
A partir du moment où il est présent sur un ordinateur, le ver scanne les adresses IP du réseau à la recherche d’autres machines non protégées. En 24 heures, plus d’une centaine de grands comptes américains dont des groupes média
comme CNN, ABC News,The New-York Times, The Associated Press ont été contaminés. Les particuliers sont moins exposés que les entreprises car ils utilisent peu Windows 2000. En effet, IRCbot.worm ne constitue pas une menace pour
Windows Server et Windows XP.’ Le ver va continuer de se propager dans le monde pendant quelques temps. D’autant qu’avec les vacances les entreprises vont être moins réactives pour mettre à jour les patches correctifs ainsi que leurs
antivirus. Toutefois, la propagation de IRCbot.worm devrait être moins violente que celle de Sasser ou de Mydoom ‘, analyse François Paget.IRCbot.worm aurait déjà touché l’Europe et l’Asie, mais son action serait limitée. Mais, déjà, les éditeurs dantivirus auraient détecté une autre version du ver, Zotob F, dont les effets ne sont pas encore connus.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
