On annonce un nouveau virus (en fait un ver), nommé Vessel, apparu le 7 février. Il ne se propage pas par mail mais en recherchant sur Internet les ordinateurs infectés par Mydoom.

au sommaire


    Vessel, le nouveau virus ou Mydoom, le retour...

    Vessel, le nouveau virus ou Mydoom, le retour...

    En effet Mydoom installe sur les ordinateurs, entre autres nuisancesnuisances, une backdoor. Vessel l'exploite en tentant d'entrer dans les ordinateurs contaminés par les ports 1080, 3127 et 3128. Il se copie alors dans le répertoire Windowssystem (ou system32) sous le nom sms.exe. Il ouvre ensuite le port 2766 et attend une connexion (backdoor TCP). Seul un "client" identifié par une clé cryptée (l'auteur du ver) peut utiliser cette connexion.

    Il se connecte aussi à un serveur IRCIRC prédéfini et reste en attente de commandes envoyées par l'auteur (backdoor IRC). L'une ou l'autre des backdoors permettent le chargement et l'exécution sur l'ordinateur de n'importe quel programme, a priori nocif. Vessel supprime l'infection par Mydoom, mais interromp toute une série de processus, et surtout bloque une liste impressionnante de programmes antivirus et de pare-feux. Si l'ordinateur utilise le système P2P SoulSeek, il se recopie sous toute une série de noms attractifs dans le répertoire partagé, ce qui constitue sa deuxième méthode de propagation.

    Mydoom.C

    Le ver Doomjuice.A (appelé par certains Mydoom.C) est apparu le 9 Février et exploite, lui aussi, les machines infectées par Mydoom.A. Il pénètre par le port 3127, ouvert par la backdoor de Mydoom, et se copie dans le répertoire system (comme le précédent). Il lancera des attaques DDoSDDoS contre www.microsoftmicrosoft.com du mois de Mars au mois de Décembre.

    Remarque générale

    Ces nouveaux vers devraient se répandre beaucoup moins que Mydoom.A. En effet ils scannent les adresses IPadresses IP au hasard et il faut qu'ils trouvent des ordinateurs préalablement infectés par Mydoom.

    Les sources consultées ne disent pas si le mécanisme de scan est rapide ou non mais on peut légitimement penser que leur propagation ne sera pas très rapide. De plus on peut espérer que beaucoup d'ordinateurs victimes de Mydoom ont été désinfectés, ce qui limite les cibles potentielles.