Alerte rouge: le virus Mydoom -anti SCO- inonde les réseaux
Apparu ce lundi, la 'sale bête' se répand très rapidement et se transforme en machine à spams contre l'éditeur SCO
• Bourse & Sociétés InfoVista, 'french success story': la vague télécoms revient...
• Bourse & Sociétés Résultats en hausse pour Texas Instruments
• Virus & Sécur-IT Piratage : les professionnels français veulent 'sortir le bâton'
• Humeur Les pirates poursuivis par la RIAA font la pub Pepsi
• Cyberpouvoirs L'Europe sur le point d'infliger une amende à Microsoft
Repéré notamment par F-Secure et Symantec, Mydoom-A (ou Novarg-A et Mimail-R.) se propage à grande vitesse en utilisant les messageries e-mail mais également les réseaux d'échange Peer-to-Peer type Kazaa. De nombreux incidents touchant des centaines de milliers d’utilisateurs dans de nombreux pays ont été signalés. Les éditeurs de logiciels de sécurité indiquent que le niveau d'alerte est très important.
Comme d'habitude, ce ver/virus se propage via toutes les adresses trouvées sur les ordinateurs affectés. Il est véhiculé par un e-mail comprenant un attachement de fichier. L'objet comporte différentes accroches : test, hi, hello, Mail Delivery System, Mail Transaction Failed, Server Report, Status Error.
Le corps du message contient : "Test", "The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment". Ou encore "The message contains Unicode characters and has been sent as a binary attachment". "Mail transaction failed". "Partial message is available".
Les pièces jointes sont "document", "readme", "doc", "text", "file", "data", "test", "message", "body" avec les extensions : pif, scr, exe, cmd, bat.
Il s'installe sur le système sous le nom de 'taskmon.exe'. Une fois la machine infectée, il active Windows Notepad et installe une porte-dérobée (ou "backdoor") en créant un fichier SHIMGAPI.DLL sur le système 32 de Windows. Il l'exécute ensuite à travers un process de IEPLORE.EXE.
Mydoom.A ouvre le port TCP 3127 sur l’ordinateur infecté, autorisant ainsi le contrôle à distance dudit ordinateur. Ceci signifie qu’un pirate peut accéder, dérober, modifier ou détruire, toute information présente sur l’ordinateur.
Vocation politique
Une fois que le virus a infecté un ordinateur, il se met à la recherche du programme de partage de fichiers en réseau KaZaa. Si ce dernier est détecté, un fichier est alors copié dans le répertoire de partage, autorisant sa diffusion via ce système de 'peer to peer'.
Mais ce n'est pas tout. Non content d'inonder les réseaux et d'ouvrir une "back door", ce ver a également une vocation politique. Une sorte de fonction "double lame"... Il est programmé pour conduire une attaque par "déni de service" sur le site Internet de l'éditeur SCO. Mydoom tente de contourner les outils anti-spam en remplaçant les "@" par des "at".
Après le 1er février, Mydoom s'activera à chaque redémarrage ('boot') de la machine et tentera d'ouvrir la page de l'éditeur de solutions Unix, SCO
www.sco.com et essaiera de s'y connecter chaque seconde à partie de chaque machine infectée à travers le monde. Le requête, très simple "GET / HTTP/1.1", est programmée pour surcharger le serveur web de SCO!
Comme Bagle et autres Sobig, ce ver/virus est programmé pour s'auto-détruire le 12 février.