Le 26 juillet les éditeurs d'antivirus ont annoncé une nouvelle version de Mydoom, désignée généralement par Mydoom.M (Mydoom.O par quelques éditeurs). Futura-Sciences a publié une première actualité sur le sujet hier, mais on dispose aujourd'hui d'informations supplémentaires.

au sommaire


    Virus : Mydoom.M a maintenant un complice

    Virus : Mydoom.M a maintenant un complice

    C'est un ver qui se répand en envoyant en massemasse, à partir des ordinateurs contaminés, des mails contenant le programme malveillant en pièce attachée. Le corps du message peut être vide ou contenir un texte disant que l'ordinateur a été probablement contaminé par un virus récent et héberge un cheval de Troie/proxy (ce message ne manque pas d'humour, ou d'audace !). Il invite ensuite à suivre les instructions contenues dans le document attaché pour désinfecter l'ordinateur (c'est là qu'est le piège).
    Le ver crée dans le répertoire Windows ou dans le répertoire temporaire un fichier javajava.exe et un autre nommé services.exe. Il installe une backdoor (porte dérobéeporte dérobée) nommée Zincite.A sur le port TCP 1034, qui permet éventuellement à un pirate de prendre le contrôle de l'ordinateur.
    Fondamentalement rien de nouveau et cette version n'aurait pas mérité une mention particulière, sauf qu'elle s'est propagée de façon massive dès son apparition. La seule originalité de ce ver est de ne pas se contenter des adresses mails trouvées sur l'ordinateur local, mais de se connecter à plusieurs moteurs de recherche (www.googlegoogle.com, search.lycos.com, search.yahoo.com, www.altavista.com) pour en trouver d'autres. Bien que ceci ne soit pas une attaque des moteurs de recherche, l'activité importante de ce ver a provoqué un léger ralentissement de ces moteurs noté aux Etats-Unis, en France et en Grande-Bretagne.
    Toutefois, dès le lendemain on a observé une baisse notable de la propagation de Mydoom.M, celle-ci se situant à un niveau moitié de la propagation du ver initial Mydoom.A en janvier.
    Contrairement à cette première version Mydoom.M n'est pas conçu pour provoquer un déni de service (DDoS) sur certains sites, ce qui constituait l'aspect le plus original de Mydoom.A.

    Zindos.A


    Mais l'ouverture du port TCP 1034 vient d'être exploitée par un nouveau ver, Zindos.A (apparu le 27/07) dont le but est de lancer dès son installation une attaque DDoS contre le site web de MicrosoftMicrosoft. Zindos.A s'introduit par le port ouvert en scannant des adresses au hasard jusqu'à ce qu'il trouve un ordinateur contaminé par Zincite.A. En raison d'un bugbug, Zindos.A entraîne l'exécution d'une boucle infinie de réinfection qui peut ralentir fortement, ou empêcher, le fonctionnement de l'ordinateur.