La famille de Mytob entre en scène - des dizaines de nouvelles versions entraînent une épidémie

14 avr. 2005
Actualités Virus

Kaspersky Lab, éditeur de logiciels de sécurité informatique, annonce l'identification de nouvelles variantes du ver de réseau “Net-Worm.Win32.Mytob”. A l'heure actuelle, les experts antiviraux ont détecté 26 nouvelles variantes du ver. Et il est très probable que l'arrivée de nouveaux clones se fasse sans tarder. L'intensité de leur diffusion est telle que cette famille de programmes malicieux provoque une nouvelle épidémie sur Internet.

La variante Net-Worm.Win32.Mytob.c, découverte le 1er mars, est la plus dangereuse. Au cours des trois dernières semaines, elle fait preuve d'une activité intense s'octroyant environ 30% du trafic viral dans le courrier électronique. A l'heure actuelle, les vers de la famille Mytob grouillent dans le classement des 20 programmes malicieux les plus répandus de Kaspersky Lab occupant de 5 à 6 places.

Le ver Mytob est le résultat d'une modification du code source du tristement célèbre ver de courrier - Mydoom.a. De cette façon, Mytob infecte les machines sous Windows et se répand par la faille du service LSASS, mais aussi par email sous forme de fichier joint au message.

Après son exécution le ver se copie dans le répertoire de Windows et s'enregistre dans la clé d'autodémarrage du système de registre. Il scanne le système de fichiers de l'ordinateur infecté et s'envoie à toutes les adresses à l'exception de certaines adresses, susceptibles d'appartenir à des éditeurs antivirus.

Parallèlement, le ver exécute une procédure de sélection au hasard d'adresses IP à attaquer puis envoie une requête sur le port TCP 445 des ordinateurs victimes. Si la machine répond à la connexion, le ver, exploitant la vulnérabilté LSASS, éxecute son code sur la victime. En plus de la procédure d'autodiffusion, le danger est renforcé par la présence d'un composant bot dans tous les vers de la famille Mytob. Il permet au malfaiteur de contrôler l'ordinateur infecté par canaux IRC et d'obtenir l'accès aux informations sauvegardées sur la machine.

Le danger épidémique s'est certainement accentué avec la publication par Microsoft de la liste des failles de Microsoft Windows SE. Dans cette liste, cinq vulnérabilités atteignent un statut « critique ». En cas d'exploitation de ces vulnérabilités par des auteurs de virus, elles peuvent être la cause d'épidémies mondiales. « Nous sommes convaincus qu'à l'heure actuelle, l'informatique underground assimile de manière intensive ces nouvelles vulnérabilités dans l'unique but de créer des programmes malicieux toujours plus dangereux. Pour pallier cette insécurité et l'infection par de tels virus, nous recommandons fortement à tous les utilisateurs de Windows SE d'installer le pack de mises à jour Microsoft » a déclaré Eugène Kaspersky, chef des études antivirales de Kaspersky Lab.

La base Anti-Virus Kaspersky a été rapidement mise à jour et protège contre “Mytob”'. Vous pouvez consulter une description plus détaillée en anglais sur l'encyclopédie virale de Kaspersky www.viruslist.com.

  PARTAGER