au sommaire
Si un serveur infecté est visité, le javascript force le navigateur qui a affiché la page à se connecter sur un site Web russe (et un site américain également selon une des sources consultées) et à télécharger à l'insu de l'utilisateur un programme exécutable. Plusieurs types d'exécutables ont déjà été identifiés (chevaux de Troiechevaux de Troie de type proxy, backdoors, keyloggers - cliquer ici pour un dossier sur les virus, 1 et 2)). En gros, ceci signifie qu'un pirate pourrait espionner la frappe de mots de passemots de passe ou numéros de cartes bancaires, prendre le contrôle de l'ordinateurordinateur, s'en servir pour envoyer du spamspam en massemasse à l'insu de l'utilisateur. Bien qu'il soit trop tôt pour l'affirmer, on pense que c'est la diffusiondiffusion de spams qui est visée prioritairement par cette attaque.
Seul le navigateur InternetInternet Explorer (et ses dérivés) serait affecté d'après K-Otik, mais le communiqué initial du SANS ne fait aucune référence explicite à un type de navigateur. Dans la plupart des cas, ni l'administrateur du serveur, ni l'utilisateur du navigateur ne noteront de signe anormal. Si votre ordinateur est infecté et si vous avez un pare-feupare-feu, vous pourrez noter des tentatives de connexion au 217.107.218.147 (le site russe signalé ci-dessus). Les antivirusantivirus à jour (certains ou tous ?) détecteront le javascript comme « JS.Scob.Trojan ».
Il s'agit d'une attaque de large envergure, utilisant des méthodes probablement sophistiquées, et qui va durer certainement plusieurs jours, le temps d'identifier les serveurs contaminés, de les réinstaller et d'identifier la méthode de contaminationcontamination afin d'assurer la protection de tous les serveurs ISSISS.