Accueil Vers : une histoire tourmentée

Vers : une histoire tourmentée

Dès 2001, les vers Internet refirent leur apparition. CodeRed, apparu en juillet 2001, était un ver «sans fichier». En rupture totale avec les pratiques virales précédentes, le code du ver n'existait qu'en mémoire : il ne faisait aucune tentative pour infecter les fichiers de la machine qui l'hébergeait.

CodeRed utilisait une vulnérabilité de Microsoft IIS server (MS01-033 “Uncheck Buffer in Index Server ISAPI Extension Could Enable Web Server Compromise”) pour s'attaquer aux serveurs Windows 2000. Il pénétrait le serveur par une connexion TCP/IP sur le port 80, il s'exécutait en mémoire grâce à un débordement de tampon puis il se propageait selon le même procédé vers d'autres serveurs vulnérables. CodeRed a littéralement explosé sur Internet en quelques heures, à une vitesse considérablement supérieure à tout ce qu'on avait connu jusque là. C'était la première fois, après le précédent de Morris, qu'un ver exploitait une vulnérabilité pour se propager. Le succès de CodeRed, toutefois, permettait de prédire à coup sûr que ce type d'incident ne serait pas le dernier. En effet, à peine quelques mois plus tard, en septembre 2001, le virus Nimda exploitait une vulnérabilité d'Internet Explorer (MS01-020, “Incorrect MIME header can cause Outlook to execute e-mail attachment”) et provoquait à son tour une épidémie mondiale.
Nimda infectait les fichiers mais, à la différence des pollupostages (spam) précédents, il ne comptait pas sur l'utilisateur pour que celui-ci clique sur un fichier EXE infecté joint au message. Il profitait d'une vulnérabilité du navigateur pour s'exécuter automatiquement sur les systèmes. La vulnérabilité était connue depuis six mois, mais un grand nombre de systèmes ne disposait pas encore du correctif ; ils étaient toujours exposés aux attaques et à l'exploitation de cette vulnérabilité, ce qui permit au ver Nimda d'infecter ces systèmes tout autour du globe en quelques heures.
Les années qui suivirent CodeRed et Nimda, la réalisation d'”exploits” visant des vulnérabilités système était devenue chose banale. Jusque là, ces méthodes d'attaque étaient le fait de pirates, plutôt que d'auteurs de virus. Mais de nouveau, la combinaison des techniques “traditionnelles” d'écriture de virus avec les procédés de piratage a donné lieu à un nouveau “bond en avant” du développement de logiciels malveillants.
Certaines menaces ont évité l'utilisation combinée de plusieurs techniques virales “traditionnelles”. Lovesan, Welchia et Sasser, par exemple, étaient des vers Internet purs et simples. Ils ne possédaient aucun générateur de publipostage et n'exigeaient aucune intervention de la victime pour exécuter le programme infecté. Ces menaces se propageaient plutôt par Internet, directement de machine en machine.

David Emm, Consultant Technique, Kaspersky Lab et Jean Philippe Bichard, Directeur marketing Kaspersky Lab France

Dossier publié dans Solutions Logiciels N°2