Nimda, un virus-ver malin et envahissant

Cloud

Les créateurs de virus ne chôment pas. Nimda, un ver qui se propage via le courrier électronique et les serveurs Web IIS de Microsoft, assure la succession des récents Code Red et Code Blue. Plus ennuyeux que réellement méchant (mais sait-on jamais), Nimda se propage à une vitesse inquiétante.

Nimda. Autrement dit « admin » (version raccourcie d’Administrateur) à l’envers. Et derrière ce sobriquet se cache un virus redoutablement efficace. Il s’agit d’un ver (troj_nimda.a) qui aurait commencé à se propager le 18 septembre. Non destructeur, il embête par sa vitesse de propagation et ses propriétés infectieuses. Tellement que Symantec le classe dans la catégorie « 4 », la plus élevée. Au mieux, il ralentit les performances d’un réseau. Au pire, il fait tomber un serveur de courrier par une avalanche d’e-mails infectieux. Caractéristique originale, Nimda s’attaque autant aux serveurs Web Microsoft IIS (Internet Information Server) non sécurisés qu’aux PC de bureau utilisant Internet Explorer (5.0 et 5.01) et Outlook (ou Outlook Express). Le ver s’adaptant selon qu’il s’attaque à un serveur ou à une station de travail.

Sa méthode d’infection est relativement simple : il teste, les unes après les autres, les seize failles de sécurité répertoriées sur IIS, jusqu’à ce qu’il en trouve une qui le laisse entrer. Une méthode qui semble inspirée des récents et déjà populaires virus Code Red (I et II) et Code Blue. Dans le cas d’une infection d’un serveur IIS, Nimba entreprend de modifier les fichiers en « .htm » ou « .html » et « .asp » afin que les internautes qui visitent les pages reçoivent une copie du virus. Celle-ci leur parvient sous forme d’un fichier .eml (extension des fichiers e-mails d’Outlook Express) intitulé « readme.eml ». C’est ce fichier qui contient un script nocif qui, à son ouverture, infecte l’ordinateur hôte. Infection facilitée par la capacité d’Outlook à ouvrir automatiquement les fichiers .eml.

Nimda se répand aussi directement par courrier électronique sous forme d’un message, généralement doté d’un titre aléatoire et d’un corps vide, accompagné du document « readme.exe » éventuellement suivi d’une extension .com ou .wav. Exécutable à ne surtout pas lancer puisque c’est lui qui contient le code infectieux. La machine infectée voit son disque C: partagé sur le réseau. Nimda en profite pour se propager sur les autres disques disponibles sur le réseau. Le fichier infectant prendrait alors les noms de « sample.eml » et « desktop.eml », notamment. Il profite aussi du carnet d’adresses d’Outlook pour s’auto-envoyer à tous les contacts (méthode traditionnelle qui a pour effet de faire passer l’expéditeur présumé au mieux pour un imbécile ignorant, au pire pour un dangereux pirate).

Attention aux amalgames

Le virus n’infecte apparemment pas uniquement les ordinateurs mais aussi les esprits. On se demande notamment pourquoi le US Attorney General (l’équivalent du ministre de la Justice) John Ashcroft a mis en garde les internautes de l’existence de virus. Il a signalé que Nimda avait déjà infecté des centaines de millier d’ordinateurs dans le monde entier. Est-ce le rôle d’un haut fonctionnaire de la Justice que de se mêler de prévenir les internautes ? Où bien profite-t-il des récents attentats contre les Etats-Unis pour « surfer » sur la vague de la médiatisation ? Au point de faire des amalgames à la pertinence douteuse, en soulignant que Nimda et les attaques n’avaient aucun rapport. Qu’en sait-il, après tout ?