"Autorooter" : une nouvelle menace liée à une faille dans la sécurité de Windows

04 août 2003
Actualités Virus

Kaspersky Labs, concepteur de logiciels de sécurité informatique, a annoncé la découverte du ver "Autorooter" et sa diffusion massive, par courrier électronique, grâce aux technologies du spam. Par chance, la fonction de multiplication automatique du ver n'a pas été entièrement réalisée, ce qui exclut la possibilité d'une grosse épidémie. "Autorooter" s'attaque à une faille de Windows (versions NT/2000/XP) découverte il y a seulement 2 semaines. Kaspersky Labs n'exclut pas la possibilité de correction des erreurs de cette version du ver et attire l'attention des utilisateurs sur la nécessité d'installer immédiatement le patch correctif pour ces versions de Windows. "Autorooter" se présente comme un hybride de ver de réseau et de cheval de Troie, en ce qui concerne la prise de commande à distance de l'ordinateur infecté (backdoor). Cette faille a été découverte il y a environ un mois, et Microsoft a déjà produit le patch correctif correspondant. Dans un premier temps, "Autorooter", s'engouffre dans cette brèche en s'inscrivant dans la mémoire tampon de Windows, puis, installe ses autres composants. Comme indiqué plus haut, la fonction de diffusion n'est pas complète, c'est pourquoi ce ver ne peut pas se propager via Internet. Cependant, avec l'aide du client FTP intégré, "Autorooter" télécharge à partir d'un serveur et installe le programme "IRCbot", qui permet aux hackers de commander à distance l'ordinateur infecté de façon imperceptible pour son propriétaire.

"Nous supposons, que ce ver est simplement une version d'essai. Il est possible que, dans l'avenir, apparaissent des versions plus évoluées, capables de causer d'énormes dégâts sur Internet. Il n'est pas exclu, que le but du créateur d'"Autorooter" soit la création d'un réseau étendu d'ordinateurs permettant la tenue d'attaques de hackers ou d'attaques virales à grande échelle." a commenté Eugène Kaspersky, le chef des études antivirales de Kaspersky Labs.

La protection contre "Autorooter" a été ajoutée à la base de données de Kaspersky Anti-Virus.
Kaspersky Labs recommande d'installer le correctif dont on a parlé plus haut et de bloquer sur les pare-feu les ports TCP 135, 139 et 445.

Une description plus détaillée de " Autorooter " est disponible (en anglais) dans "l'Encyclopédie Antivirale de Kaspersky Labs".

  PARTAGER