Départ sur les chapeaux de roues pour les épidémies virales de 2004 : le virus MyDoom se propage actuellement très rapidement sur Internet. Le parasite arrive via une pièce jointe dans un email et le réseau d'échange de fichiers Kazaa. Il installe une porte dérobée sur ses victimes et les prépare à une attaque par déni de service sur le site de l'éditeur SCO, le 1er février prochain.

au sommaire


    C'est reparti pour une épidémieépidémie majeure : le virus MyDoom fait actuellement le tour du monde -et des boîtes aux lettres- à une vitessevitesse qui laisse les éditeurs d'antivirus pantois. Car MyDoom n'a pourtant rien de bien extraordinaire : il faut exécuter sa pièce jointe pour être infecté ! Et pourtant, c'est une vraie épidémie comme Internet n'en a pas connue depuis Sobig !

    Le virus arrive dans les boîtes aux lettres sous la forme d'un email dont le corps du texte est illisible (il utilise des caractères unicodes). Le code viral se trouve lui dans une pièce jointe aux formats classiques exe, pif, cmd ou scr.
    Elle peut-être compressée dans une archive zip ou bien être directement exécutable. Dans ce cas, le virus utilise la technique bien connue de la double extension afin de cacher le type réel du fichier. Il y ajoute cependant une touche personnelle : la seconde extension est séparée de la première par une soixantaine d'espaces vides, ce qui la fait généralement passer en deuxième ligne dans le nom du fichier, et qui participe donc à la rendre invisible.

    Une fois dans la place, MyDoom se copie dans le répertoire de téléchargement des fichiers Kazaa si sa victime utilise cet outil. Il s'y fait alors passer pour un exécutable susceptible d'intéresser un maximum d'internautes, et attend tranquillement d'être téléchargé pour profiter de cette seconde voie d'infection.

    Pour faire bonne mesure, le virus ouvre ensuite le port 3127 sur le PC afin d'en permettre la prise de contrôle à distance par ses auteurs. Un tel comportement permet aux pirates de se créer un réseau d'ordinateurs "zombies" à travers le monde, qu'ils peuvent utiliser à leur guise pour relayer du spamspam ou lancer des attaques par déni de servicedéni de service de manière anonyme.

    Ce dernier point est d'ailleurs plus qu'une supposition : MyDoom est prévu pour lancer une vaste attaque par déni de service contre le site de l'éditeur SCO. La cible, bien sûr, ne semble pas choisie au hasard : SCO irrite la communauté Open SourceOpen Source en réclamant des droits sur LinuxLinux et en allant jusqu'à menacer les utilisateurs du système libre de devoir lui payer une licence. Mais rien ne prouve, bien sûr, que ce virus ait quoi que ce soit à voir avec la communauté Libre...

    En attendant, il est très simple de se protéger de MyDoom : il suffit, comme d'habitude, de ne pas cliquer sur les pièces jointes et de conserver son antivirus à jour. Pas de quoi en faire une épidémie mondiale... et pourtant, à en croire les dizaines d'emails arrivés aujourd'hui dans toutes nos boîtes aux lettres, le conseil est loin d'être superflu !