Zotob/Mytob/Rbot/IRCBot/Bozori : La plus importante épidémie virale depuis Sasser et Mydoom ?

Par Kaspersky Labs le Jeudi 18 Août 2005

Kaspersky Lab, éditeur de logiciels de sécurité informatique, commente la toute récente apparition des programmes malicieux Zotob et Bozori. Selon de nombreuses publications internationales, un ver a infecté le réseau de grandes sociétés représentant ainsi l'épidémie de l'année.

Selon la chaîne de télévision CNN, ABNews, New York Times, le congrès des Etats-Unis ont été touchés par le ver. Cette information reprise par les médias a quelque peu crée la confusion, y compris dans les appellations de ce virus.

Il est important de noter que les appellations du ver varient selon les éditeurs :
- Net-Worm.Win32.Bozori.a (Kaspersky)
- Zotob.e (Symantec)
- WORM_RBOT.CBQ (Trend Micro)
- IRCBot.Worm (McAfee)
- Tpbot-A (Sophos)
- Zotob.d (F-Secure)

Kaspersky Lab a été parmi les premiers éditeurs de solutions antivirus à détecter ce vers. Les procédures de détection ont été immédiatement rajoutées aux bases antivirus aujourd'hui à 1h50 du matin.

Cependant, le laboratoire n'a reçu aucune information d'utilisateurs russes ou étrangers concernant des infections provoquées par le ver. A l'époque de Sasser, épidémie répandue en mai 2004 et avec laquelle certains media comparent déjà Bozori.a, le trafic de réseau avait alors augmenté de 20-40%, ce qui n'est pas le cas aujourd'hui.

Le ver exploite une vulnérabilité dans le service Microsoft Windows - Plug'n'Play (MS05-039). Cette vulnérabilité a été corrigée le 9 août 2005 par une mise à jour spéciale, téléchargeable depuis le site de Microsoft : http://www.microsoft.com/technet/security/Bulletin/MS05-039.mspx

Depuis l'édition du patch, près de dix programmes malicieux exploitant cette faille ont été identifiés. On a d'abord observé 3 variantes du ver Mytob (ce, cf, ch), appelé "Zotob" par d'autres éditeurs d'antivirus.

Certains media ont fait couler beaucoup d'encre sur ces variantes sans fondement épidémique. Plusieurs Trojans.bot, des familles Rbot и IRCBot, ont également été détectés. Aucun d'entre eux n'a provoqué d'épidémie.

Kaspersky Lab n'a reçu aucune information d'utilisateurs confirmant des infections par Bozori.a. Ceci confirmant les informations données plus haut, c'est pourquoi, à l'heure actuelle on ne peut pas parler d'une épidémie.

A propos de KASPERSKY Lab
Kaspersky Lab est un éditeur de logiciels privé, spécialisé dans la protection des données informatiques. La société dispose de bureaux à Moscou (Russie), Sophia-Antipolis (France). Cambridge (Royaume-Uni), Pleasanton (Californie), Beijing (Chine) et Czestochowa (Pologne). Fondée en 1997, Kaspersky Lab concentre ses efforts sur le développement de solutions de pointe permettant de protéger les données. Kaspersky Lab développe des logiciels antivirus destinés à un large spectre d'applications et de clients, de l'utilisateur familial aux grands comptes ; des pare-feux à usage individuel ou professionnel ; et des solutions de filtrage d'informations pour les entreprises.

Kaspersky Lab distribue, supporte et assure la promotion de ses produits dans plus de 50 pays dans le monde.

Pour plus d'informations concernant Kaspersky Lab : www.kaspersky.com