Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Myki

[Virus] Mutation et hybride encore plus dangereux

Messages recommandés

Nouvelles mutations inquiétantes des virus Bagle et Nestky

Par Christophe Guillemin

ZDNet France

Mardi 30 mars 2004

 

Jusquà présent, les variantes de ces virus-vers misaient sur la négligence des internautes. Elles exploitent désormais des failles d'Internet Explorer. Les experts s'alarment et recommandent aux entreprises de mettre à jour rapidement leurs systèmes.

 

L'évolution technique des deux plus importants virus informatiques du moment, Bagle et Nestky, inquiète les experts en sécurité, qui y voient une nouvelle preuve des compétences de leurs programmeurs respectifs.

 

Le Cert-IST, un centre français de veille informatique réservé aux grandes entreprises (lire ses derniers avis de sécurité), a observé comme beaucoup d'experts que les dernières variantes de ces vers, surtout Bagle version Q, ainsi que Netsky P et Q, ne misent plus sur la simple négligence des utilisateurs, comme cela était le cas de leurs premières versions.

 

«Ces variantes présentaient jusqu’ici des caractéristiques techniques en perpétuelle évolution, mais toujours basées sur la technique dite "d’ingénierie sociale", c'est-à-dire que le virus utilise un message qui par son titre, le contexte, ou la source émettrice, incite l’utilisateur à collaborer et ouvrir volontairement la pièce jointe», note le Cert-IST dans une adressée à la presse.

 

«Un pas supplémentaire avait été franchi en mars, lorsque la pièce jointe a commencé à être cryptée, le mot de passe étant fourni dans le texte du message, puis en image jointe, techniques qui mettaient en difficulté les filtres antivirus des passerelles de messagerie».

 

Ces virus s'activent sans ouverture de la pièce jointe piégée

 

Dernière évolution en date avec Netsky P et Q, et Bagle Q: ces deux familles de virus exploitent dorénavant des failles de sécurité d'Internet Explorer ne misant plus ainsi sur le manque de précaution des internautes. Un système qui avait été à l'origine des grandes épidémies telles que Nimda, Swen, Bugbear, ou encore Blaster – dont Bagle et Netsky sont en train d'emprunter la même voie.

 

Concrètement, Netsky P et Q arrivent sur le système sous la forme d'un message électronique avec le virus dissimulé dans la pièce jointe. Pour le contaminer, ils exploitent une vieille faille d'Internet Explorer (5.01 et 5.5) découverte et corrigée depuis 2001. Cette faille permet l'exécution automatique d'une pièce jointe d'un e-mail en lisant simplement celui-ci ou en le prévisualisant.

 

Côté Bagle.Q, qui transite également via des e-mails dotés d'une pièce jointe piégée, il exploite cette fois une vulnérabilité découverte et corrigée depuis en octobre 2003 au niveau d'Internet Explorer (5.01, 5.5, 6.0); elle permet l'éxecution de code à distance via le navigateur de Microsoft.

 

Dans les trois cas, une fois la machine infectée, ces virus se renvoient vers des adresses trouvées sur le système via leur propre moteur SMTP. Leurs actions nocives sont variables: Bagle Q ouvre une porte dérobée sur le système et bloque des antivirus; Netsky P efface des données système; et Netsky Q est programmé pour lancer des attaques par déni de service contre des sites web, entre le 8 et 11 avril.

 

Pour s'en préminir, il faut, outre l'installation des patchs de Microsoft, mettre à jour la base de signatures de son programme antivirus, scanner son système, rappellent les principaux éditeurs de logiciels antivirus.

 

«Les auteurs des familles Bagle et Netsky ont désormais gagné en compétences et leur capacité de nuisance est passé à un niveau supérieur», confirme à ZDNet Marc Blanchard, responsable du laboratoire antivirus européen de l'éditeur Kaspersky. «Pour autant, il ne s'agit pas d'innovateurs. Ils ne font que du simple copier-coller de technologies existantes.»

 

Encore des retards dans la mise à jour de Windows

 

Face à ces évolutions de Bagle et Netsky, le Cert-IST recommande donc à toutes les entreprises utilisant Windows de continuer à mettre à jour, en temps réel, leurs solutions de sécurité, de poursuivre la diffusion des préconisations de sécurité auprès des utilisateurs, mais également de «s’assurer de toute urgence qu’elles sont à jour dans le déploiement de leurs correctifs de sécurité systèmes et logiciels».

 

Même son de cloche chez Kaspersky. «L'antivirus ne fait pas tout, il ne s'agit pas d'un "antifailles"», indique Blanchard. «Ce n'est pas à nous de mettre à jour les systèmes mais aux administrateurs. Or cela n'est pas toujours fait, ou du moins avec du retard. Il peut encore se passer trois ou quatre mois entre la publication d'un patch et son installation. Un délai qu'exploite les auteurs de virus.»

 

Pourquoi un tel retard? «Sous la constante pression de productivité, l'administrateur va privilégier le maintien du bon fonctionnement des applications sur leur sécurité. Avant d'installer un correctif, il va vérifier que celui-ci ne bloque pas l'exécution d'un applicatif, ce qui prend du temps. Avec des demandes de maintien de service 24 heures sur 24, 7 jours sur 7, et une tolérance du temps de rupture qui est désormais descendue à moins de 1%, l'administrateur réfléchit à deux fois avant d'installer un patch», conclut Blanchard.

 

Source ZDnet

 

Myki

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonsoir Myki, Olivier, bonsoir à tous,

 

Les créateurs de virus optimisent, exploitent, étudient... mettent au point leurs bestioles en cumulant les techniques du moment et en augmentant ainsi les chances d'infection !

 

Une infection = un troyen = une machine à disposition pour le mass-mailing ou une attaque !

 

C'est devenu une vraie entreprise avec sa "rentabilité", ses ratios de productivité, son rendement :P

 

Moyens d'infection utilisés (par Bagle, Netsky, MyDoom) :

- e-mail avec pièce jointe infectée, assorti de :

--- ingéniérie sociale

--- mass-mailing

--- spoofing d'adresse e-mail

--- avis de non-distribution et rebouncing des AV de serveurs qui déconcertent

- e-mail avec infection Html (faille IE/OE à la Bugbear)

- intrusions par failles ouvertes par de précédents virus (avec identification des machines accessibles dans bases de données)

pas encore utilisés :

- failles RPC (à la Blaster)

- propagation réseau local (à la Nimda)

- sites Web infectés (exploitant failles IE) avec éventuel spoofing d'URL

- distribution d'utilitaires infectés en téléchargement ou CD magazines

- envois snailmail/distribution gratuite de CD infectés

en désuétude :

- infection par disquette

- (aussi, virus MBR, virus macro)

Modifié par ipl_001

Partager ce message


Lien à poster
Partager sur d’autres sites

Histoire de mettre toutes les chances de son coté :-/

En prenant toutes les failles, on attaque plus de personnes et surtout, on touche une cible qu'on aurait pas eu forcément.

 

Myki

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonsoir Myki, bonsoir à tous,

 

... j'avais cru comprendre que Netsky laissait tomber ! que Netsky était "un antivirus" ! c'était de la pub !?!?!?

 

----- édition

Au fait, il faudra dire à l'hébergeur de se mettre à l'heure d'été (il est 1h25 chez moi !) :P

Modifié par ipl_001

Partager ce message


Lien à poster
Partager sur d’autres sites

Votre contenu devra être approuvé par un modérateur

Invité
Vous postez un commentaire en tant qu’invité. Si vous avez un compte, merci de vous connecter.
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.


  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×