Le virus MyDoom prêt à attaquer SCO
Sous la forme d’un message d’erreur, le virus MyDoom se propage via les messageries et les réseaux d’échanges peer-to-peer. Son but : attaquer les serveurs de l’éditeur SCO.
MyDoom, ou encore Novarg.A ou Mimail.R, se propage vite, très vite. Network Associates, l’éditeur de l’antivirus McAfee, déclare avoir intercepté plus de 200 000 exemplaires de ce virus apparu en fin de soirée lundi 26 janvier 2004 et, selon toute vraisemblance, venu de Russie. Soit un taux de propagation beaucoup plus élevé que le récent et non moins inquiétant Dumaru.Y (voir télégramme du 26 janvier 2004) qui n’a été intercepté « que » 20 000 fois en trois jours. Si MyDoom se répand par l’intermédiaire des courriers électroniques, il prolifère aussi sur le réseau d’échange de Kazaa, l’un des plus populaires logiciels de peer-to-peer (P2P), en se copiant dans le dossier partagé sous divers noms susceptibles de le rendre inaperçu (winamp5, icq2004-final, activation_crack, strip-girl-2.0bdcom_patches, rootkitXP, office_crack, nuke2004…). Ce qui explique probablement sa vitesse de prolifération aussi élevée.
Objectif : les serveurs de SCO
Selon l’éditeur F-Secure, si MyDoom parvient à infecter la machine, il installe une porte dérobée (backdoor) en créant le fichier SHIMGAPI.DLL sur le dossier « System32 » de Windows. Le virus est programmé pour déclencher, le 1er février 2004, une attaque incapacitante (DoS ou Denial of service) sur les serveurs de SCO, l’éditeur qui revendique une partie de la paternité de Linux (voir notamment édition du 16 janvier 2004). A partir de cette date, à chaque démarrage la machine infectée tentera de se connecter toutes les secondes sur le site www.sco.com auquel il enverra une requête (GET / HTTP/1.1) destinée à surcharger les serveurs de l’éditeur. Si le ver est programmé pour s’autodétruire le 12 février 2004, la porte dérobée restera en place. A quelle fin ? On l’ignore encore mais elle donnera la possibilité à un assaillant de prendre le contrôle de la machine à distance.
Malgré son polymorphisme, MyDoom base sa stratégie de développement sur la crédulité des utilisateurs : il ne s’active qu’en cliquant sur sa pièce jointe (ou sur le fichier exécutable s’il est téléchargé à partir de Kazaa). Le courriel se présente avec les en-têtes suivants : « test », « hi », « hello », « Mail Delivery System », « Mail Transaction Failed », « Server Report », « Status », « Error ». Le corps du message signale une erreur d’encodage du texte ou de délivrance du courriel et invite à cliquer sur la pièce jointe (document, readme, doc, text, file, data, test, message, body avec les extensions pif, scr, exe, cmd, bat) pour lire le contenu. Ce qu’il ne faut surtout pas faire, évidemment. « Il est vrai que le corps du message ressemble à une signalisation d’erreur système comme on en reçoit en retour d’un envoi à une adresse e-mail erronée », explique François Paget, ingénieur au centre de surveillance de McAfee, « ce qui pourrait expliquer la vitesse de propagation de MyDoom ». Les auteurs du ver n’ont pas seulement travaillé le code du programme malveillant, ils ont aussi peaufiné le message qui va inciter l’internaute à activer le ver. Vigilance et mise à jour des antivirus indispensables.