Le ver "Doomjuice", dernier-né de l'auteur de "Mydoom", brouille les pistes et menace Microsoft

Le ver "Doomjuice", dernier-né de l'auteur de "Mydoom", brouille les pistes et menace Microsoft

Kaspersky Labs, concepteur de logiciels de sécurité informatique, annonce la découverte de ' Doomjuice ', le dernier d'une série de vers d'Internet dangereux. Ce programme malicieux, dont la découverte par les experts de la société remonte au 9 février 2004, a déjà infecté plus de 100 000 ordinateurs à travers le monde et sa diffusion n'affiche aucun signe de ralentissement. Selon les experts de Kaspersky Labs, "Doomjuice" aurait été créé par l'auteur de "Mydoom", le virus le plus destructeur de ces derniers temps, afin d'effacer toutes les traces. Qui plus est, ce nouveau ver d'Internet permettra également d'organiser une attaque d'envergure contre le site Microsoft au départ des ordinateurs infectés par "Mydoom.a".

Le mécanisme d'auto reproduction de ce ver explique l'explosion du nombre d'ordinateurs personnels infectés par "Doomjuice". Il se propage via Internet et exploite les ordinateurs infectés par l'une des versions de "I-Worm.Mydoom" pour se démultiplier. Ce nouveau ver pénètre dans l'ordinateur via le port TCP 3127, celui-la même qui avait été ouvert par le cheval de Troie de "Mydoom" pour permettre la prise de contrôle à distance. Lorsque l'ordinateur infecté réagit à la requête du ver, "Doomjuice" établit une connexion et envoie sa copie. Ensuite, le cheval de Troie installé par "Mydoom" reçoit le fichier et l'exécute.

Une fois exécuté, le vers se copie dans le répertoire système de Windows sous le nom "INTRENAT.EXE" et s'enregistre dans la section de lancement automatique de la base de registre, si bien que le code malveillant sera exécuté à chaque redémarrage du système. Ensuite, "Doomjuice" réalise la fonction principale pour laquelle il a vu le jour. Il extrait le fichier "SYNC-SRC-1.00.TBZ" et le copie dans 4 endroits : le répertoire racine, le répertoire Windows, le répertoire système de Windows et le dossier Documents and Settings de l'utilisateur. Ce fichier est en fait une archive TAR qui contient tout le code source de "I-Worm.Mydoom.a".

Le but de la man?uvre consiste à diffuser une copie originale de "Mydoom.a" sur un maximum d'ordinateurs afin d'entraver toute tentative de remontée jusqu'à l'auteur du virus le plus dangereux de ces derniers temps. En effet, il sera pratiquement impossible de déterminer l'identité de l'auteur du virus ' Mydoom.a ' une fois que des copies originales de celui-ci auront été implantées sur des dizaines de milliers de disques durs à travers le monde.

Qui plus est "Doomjuice" est également programmé pour lancer une attaque par déni de service sur le site www.microsoft.com. D'ici au 12 février 2004, cette attaque sera modérée dans le sens où le ver enverra une requête GET vers le port 80 du site de Microsoft à intervalle irrégulier. La véritable attaque débutera dès le 13, lorsque ces requêtes seront envoyées sans interruption. Si l'on tient compte de la quantité considérable d'ordinateurs infectés par "Mydoom", la propagation de "Doomjuice" menace clairement le bon fonctionnement du site Internet du plus grand éditeur de logiciels au monde.

Eugène Kaspersky, le Directeur du département antivirus de Kaspersky Labs, explique "Cette diffusion massive du code source du virus, en plus de brouiller les pistes qui pourraient mener jusqu'aux auteurs de "Mydoom", pourrait très bien entraîner une vague de nouvelles versions de ce code malicieux. En effet, à partir du moment où il dispose du code source de "Mydoom", n'importe quel individu qui s'y connaît un tant soit peu en programmation peut créer un clone du virus. Il est donc tout à fait probable que dans un avenir plus ou moins proche Internet soit submergé de nouvelles versions de "Mydoom"".

11.02.2004

Recommander cette page

Photos non contractuelles - © 1997 - 2014 Kaspersky Lab ZAO.

Tous droits réservés. La meilleure des technologies en matière de prévention des cyber-risques.