Première publication le 27 janvier 2004
Attaque virale prévue en février contre SCO
Lancé hier soir, le virus Mydoom se répand à grande vitesse par les messageries électroniques et Kazaa. Il doit déclencher un envoi massif de requêtes, le 1er février, pour paralyser le site de
SCO.L’attaque est conventionnelle dans son procédé, mais d’une ampleur assez impressionnante. Le virus de type ver Mydoom (également connu sous le nom de Novarg.A) circule depuis hier soir en utilisant les messageries électroniques et la
plate-forme d’échanges de fichiers Kazaa, où il s’insère dans le programme de téléchargement.Il est programmé pour déclencher, le 1er février, un envoi massif de requêtes sur le site de SCO, l’éditeur d’Unix, dans le but de provoquer un déni de service. Au programme : une connexion par seconde et
par machine infectée sur www.sco.com.On avait déjà vu ça, mais, jusque-là, ce genre d’attaque visait généralement le site de Microsoft. Un regain de popularité que SCO doit probablement aux menaces qu’il a prononcées à l’encontre des sociétés utilisatrices de Linux,
accusées de violer ses brevets sur Unix.
Comment le reconnaître
Le virus se présente sous la forme d’un message dont l’intitulé en anglais attire l’?”il de l’utilisateur lambda : ‘ Error ‘, ‘ mail transaction failed ‘,
‘ hi ‘, ‘ mail delivery system ‘, ‘ test ‘, ‘ server report ‘, ‘ status ‘… Le message lui-même
(sibyllin et en anglais également) est accompagné d’un fichier attaché (.doc, .txt, .bat, .exe, .pif, .scr…) sur lequel il ne faut absolument pas cliquer. Sur Kazaa, il est camouflé derrière des noms de fichiers populaires tels que
‘ winamp5 ‘, ‘ icq ‘, ‘ nuke ‘, etc.‘ Le virus est programmé pour arrêter sa propagation à compter du 12 février, ajoute François Paget, chercheur antivirus chez Network Associates, mais il installe aussi une porte dérobée
qui attend que l’auteur du virus prenne la main sur la machine infectée. ‘ Pour surfer à vos frais sur Internet, spammer, exécuter d’autres fichiers, voire utiliser votre ordinateur comme relais pour lancer d’autres attaques
sur d’autres serveurs.
Des fichiers joints à double extension
‘ Ce virus se propage légèrement plus vite que
SoBig, au mois d’août, note Damase Tricart, chef de produits grand public de Symantec. Nous avons enregistré 1800 soumissions depuis le début
[hier soir, NDLR]. Avec SoBig, c’était 1800 soumissions en trois jours. ‘Même constat de rapidité de la part de Network Associates : 20 000 e-mails infectés interceptés en une heure, contre 20 000 en trois jours pour le virus Dumaru, en septembre dernier. Mais on reste encore en deçà des
performances de
Bugbear, selon Symantec.‘ Il existe une particularité concernant l’attachement, précise Damase Tricart. Il s’agit toujours d’un fichier joint avec une double extension. Mais entre les deux extensions, on compte un
espace de soixante caractères. Ce qui fait que la deuxième extension ne se voit pas tout de suite : elle est rejetée au bout de la ligne ou en dessous. ‘ D’où, peut-être, moins de méfiance de la part des utilisateurs,
qui croient avoir affaire à un authentique fichier .doc ou autre. Ce qui peut expliquer la vitesse de diffusion.Il reste que les moyens de s’en prémunir ne sont pas nouveaux : mettre à jour son antivirus, et éviter de double-cliquer sur un fichier inclus dans un message à l’énoncé peu clair, même si lexpéditeur est connu.Liens utiles :Mise à jour antivirale Networks AssociatesUtilitaire gratuit de désinfection PQRemoveAntivirus gratuit Panda ActiveScanDésinfectant F-Secure
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
