Le ver Fizzer, qui se répand principalement à travers les réseaux de discussion, est une plaie pour les opérateurs, souvent bénévoles, de serveurs IRC (Internet Relay Chat). Qu'à cela ne tienne, ils ont monté une milice privée anti-fizzer... et peut-être trouvé le moyen de forcer le ver à se désinstaller à distance !

au sommaire

    La résistance s'organise face au virus Fizzer

    La résistance s'organise face au virus Fizzer

    W32/Fizzer est un ver plutôt bavard : entre les services de discussion MSNMSN, AIM et le réseau IRCIRC, Fizzer est présent partout où les internautes "chattent". Les machines infectées s'y connectent à l'insu de leurs utilisateurs, et le ver utilise ces services de discussion pour communiquer avec son créateur.

    Les réseaux de discussion IRC (Internet Relay Chat) ont étés les plus touchés par Fizzer : chaque ver ouvre une multitude de salons de discussion privés sur IRC, qui lui servent à attendre des ordres de son créateur. Et il s'offre même le luxe de simuler des utilisateur dans chacun de ces salons, et même les faire "bavarder" en anglais et en allemand !
    Pour les administrateurs bénévoles de ces serveurs IRC, Fizzer est une plaie. Plus l'épidémieépidémie progresse, plus le nombre de "salons" de discussion créés par le ver augmente, tous peuplés de centaines d'utilisateurs fictifs.
    Les responsables d'une majorité de ces réseaux se sont donc groupés, afin de créer une équipe de choc chargée d'éradiquer Fizzer. Il s'agit d'une tâche de longue haleine, puisque chaque fois que le ver est tué sur une machine infectée quelque part dans le monde, il redémarre automatiquement au bout de 90 secondes si l'éradication n'a pas été totale. Et il ré-ouvre ses multiples salons de discussion sur de nouveaux serveurs IRC !

    Pousser le ver au suicide...

    Cette "Fizzer Task Force" semble cependant avoir découvert une parade efficace : elle force le ver à se suicider à distance !

    Trois méthodes sont utilisées pour cela. La première consiste à exploiter une faille du ver, et le faire crasher à distance à l'aide d'une très longue chaîne de caractères publiée dans ses salons de discussion. Hélas, cette méthode ne l'efface pas sur la machine infectée, elle protège simplement le serveur IRC. Car à l'autre bout du monde, le ver crashé renait au bout de 90 secondes et se connecte à un nouveau serveur.

    La seconde méthode est la plus prometteuse : en désassemblant le code du ver, les bénévoles d'IRC ont découvert que son créateur avait prévu une commande pour le désinstaller ! Aujourd'hui, de nombreux serveurs envoient donc cette commande à tour de bras aux robots qui se connectent depuis une machine infectée par Fizzer. C'est le meilleur espoir de la communauté.

    Une troisième méthode, plus amusante, a également été brièvement testée : en prenant le contrôle du site web pirate auquel le ver se connecte pour se mettre à jour, l'équipe de bénévoles a pu y déposer un colis piégé. Il s'agit d'un programme qui, une fois exécuté, tue le ver et désinfecte complètement la machine. Le plan était d'attendre que les millions de Fizzer à travers le monde téléchargent le programme pensant avoir à faire à une mise à jour. Hélas, outre les éventuels impacts juridiques d'une telle désinfection forcée (après tout, il s'agit d'exécuter un programme sur une machine inconnue sans l'autorisation de son propriétaire), le programme en question s'est révélé peu stable !

    Pour l'heure, les bénévoles d'IRC mettent donc plutôt leurs espoir sur la désinfection à distance via la commande spécifique intégrée au ver... et remercient sans doute son auteur d'avoir eu cette délicate attention.