Un grand nombre de sites Web, certains très populaires (dont des moteurs de recherche, des sites web de comparaison de prix), ont été attaqués depuis quelques jours (nuit de mardi à mercredi) pour leur faire distribuer un code nocif. L'attaquant a téléchargé sur le serveur un petit programme javascript et modifié la configuration du serveur de façon à ce que le script soit joint à tous les fichiers envoyés par ce serveur. D'après les informations disponibles, seuls seraient affectés les serveurs utilisant la technologie IIS de Microsoft, mais on ignore encore comment ces serveurs peuvent être infectés. Il est possible qu'une faille inconnue ait été exploitée (ce qu'on désigne par l'expression zero-day exploit).

au sommaire


    Si un serveur infecté est visité, le javascript force le navigateur qui a affiché la page à se connecter sur un site Web russe (et un site américain également selon une des sources consultées) et à télécharger à l'insu de l'utilisateur un programme exécutable. Plusieurs types d'exécutables ont déjà été identifiés (chevaux de Troiechevaux de Troie de type proxy, backdoors, keyloggers - cliquer ici pour un dossier sur les virus, 1 et 2)). En gros, ceci signifie qu'un pirate pourrait espionner la frappe de mots de passemots de passe ou numéros de cartes bancaires, prendre le contrôle de l'ordinateurordinateur, s'en servir pour envoyer du spamspam en massemasse à l'insu de l'utilisateur. Bien qu'il soit trop tôt pour l'affirmer, on pense que c'est la diffusiondiffusion de spams qui est visée prioritairement par cette attaque.

    Seul le navigateur InternetInternet Explorer (et ses dérivés) serait affecté d'après K-Otik, mais le communiqué initial du SANS ne fait aucune référence explicite à un type de navigateur. Dans la plupart des cas, ni l'administrateur du serveur, ni l'utilisateur du navigateur ne noteront de signe anormal. Si votre ordinateur est infecté et si vous avez un pare-feupare-feu, vous pourrez noter des tentatives de connexion au 217.107.218.147 (le site russe signalé ci-dessus). Les antivirusantivirus à jour (certains ou tous ?) détecteront le javascript comme « JS.Scob.Trojan ».

    Il s'agit d'une attaque de large envergure, utilisant des méthodes probablement sophistiquées, et qui va durer certainement plusieurs jours, le temps d'identifier les serveurs contaminés, de les réinstaller et d'identifier la méthode de contaminationcontamination afin d'assurer la protection de tous les serveurs ISSISS.