En août : Attention aux virus !

Par Panda Software le Mercredi 17 Août 2005

Pendant le mois d'août, alors que la plupart des gens sont en vacances et que l'activité économique est à son minimum, les hackers s'activent comme jamais pour donner naissance à leurs plus dangereuses créations de malwares.

Ces dernières années, le mois d'août a été le théâtre d'une vague d'alertes déclenchées par la propagation de codes malveillants, qui ont, à plusieurs reprises, causé de sérieux dommages dans les systèmes informatiques. Août 2001, par exemple, a été témoin de l'apparition de Sircam, un vers caché dans un message électronique contenant le texte : "Hello, comment allez-vous ?". Ce vers s'est répandu très rapidement, puisqu'il se diffusait automatiquement à tous les contacts enregistrés dans les carnets d'adresses des ordinateurs infectés, se reproduisant sur tous les postes de travail Windows NT du réseau. En outre, Sircam vole les données privées des utilisateurs, investit le disque dur et efface les informations qu'il contient. Toujours en août 2001 est apparu le vers CodeRed. Il s'est propagé à travers les réseaux d'entreprises en visant particulièrement Index Server 2.0, Index Service et Internet Information Server (versions 4.0 et 5.0).

Les utilisateurs ont également été largement victimes de virus en 2003. C'est l'année durant laquelle, Mimail (le 4 août) , Blaster (le 12 août) et Sobig.F (le 20 août) furent lancés. Parmis ces derniers, c'est le vers Blaster (avec dans le même mois une séries de variantes) qui a causé le plus de dégâts, en infectant les ordinateurs sous Windows 2003/XP/200/NT qui n'étaient pas protégés (patchés) contre les vulnérabilités connues, comme le "Buffer Overrun In RPC Interface". Cela a également conduit à l'arrivée de Nachi.A (le 18 août), "le vers qui rétablit l'ordre", qui utilisa les mêmes techniques de propagation que Blaster, en désinstallant ce dernier des ordinateurs infectés et en corrigeant la vulnérabilité RPC DCOM, qui leur avait permis de se propager, en téléchargeant le patch correspondant.

L'été dernier fut également une période noire, avec Bagle.AH, Mydoom.N et Bagle.AM, qui ont obligé beaucoup d'éditeurs d'antivirus à sonner l'alerte. Des trois, Mydoom.N fut le plus significatif de par son mode opératoire : utiliser les moteurs de recherche (Google, Altavista, Lycos, Yahoo) pour rechercher les adresses email à cibler. Le même mois vit l'apparition des premiers virus visant les plates-formes 64 bits.

Ce mois-ci, nous avons vu les premières tentatives d'un nouveau concept de virus pour une nouvelle "command shell", incluse dans le beta code de Windows Vista. Selon Luis Corrons, directeur de PandaLabs : "Pendant le mois d'août, quand l'activité diminue, beaucoup de gens baissent leurs gardes, et cette situation est largement exploitée par les créateurs de malwares. C'est pour cette raison qu'il est essentiel que les entreprises maintiennent leur niveau d'alerte, sinon plus, et mettent en application des politiques de sécurité tout en gardant leurs systèmes à jour."

A propos du laboratoire de virus de Panda Software
Dès réception d'un fichier susceptible d'avoir été infecté, les équipes techniques de Panda Software se mettent au travail. Le fichier est analysé et selon sa nature, différentes actions peuvent être entreprises comme le désassemblage, l'analyse de macro, l'analyse des codes, etc. Si le fichier contient effectivement un nouveau virus, l'antidote est préparé et distribué aux utilisateurs dans les plus brefs délais.