Un rootkit infecte au moins 17 000 ordinateurs

Cloud

Une société de sécurité californienne multiplie les alertes concernant un rootkit qui se diffuse par messagerie instantanée.

Selon la société spécialisée dans la sécurité FaceTime, un groupe de pirates agissant au Moyen-Orient aurait pris le contrôle distant d’au moins 17 000 ordinateurs sur la planète. Dans un communiqué daté du 17 novembre dernier, les experts de l’entreprise expliquent qu’ils ont approfondi leur analyse du ver Sdbot.add découvert le 28 octobre dernier, qui se propage parmi les utilisateurs de la messagerie instantanée AIM d’AOL.

Cet agent malveillant installait le rootkit (un logiciel fantôme très difficile à détecter) Lockx.exe qui installait une porte dérobée et permettait la prise de contrôle distante de la machine infectée via des serveurs IRC (Internet Relay Chat). Les pirates avaient également la possibilité d’accéder aux contenus des PC victimes.

Vols de mots de passe

Selon FaceTime, « les attaquants ont compromis plusieurs serveurs de fournisseurs d’accès à l’échelle mondiale pour distribuer le virus ». C’est à partir d’un de ces serveurs affectés que FaceTime a dénombré les 17 000 ordinateurs personnels infectés. Du coup, le nombre de PC touchés pourrait être bien plus élevé que l’estimation qu’en fait FaceTime. Outre le fait que leur ordinateur serve pour l’envoi de courriels indésirables (spams) ou comme plate-forme d’attaque de sites Web, les utilisateurs risquent de se faire voler des données confidentielles.

La société californienne, qui propose notamment des outils de sécurisation des messageries, a repéré un autre fichier, « ster.exe », qui une fois installé permet de voler les mots de passe et tout ce qui est tapé au clavier en général. Les programmes de ce type (les keyloggers) ont connu, selon iDefense, une filiale de Verisign, une progression de 65% entre 2004 et 2005. Ster.exe permet également de lire tous les courriers sous Outlook Express.

« Cette armée de bots [PC contrôlé par des pirates, Ndlr] pourrait être utilisée à des fins malveillantes, y compris pour des attaques par saturation (Denial of service ou DoS) contre des sites Web ciblés », prévient FaceTime, qui informe avoir prévenu les autorités fédérales de sa découverte.