Vessel, le nouveau virus ou Mydoom, le retour...

En effet Mydoom installe sur les ordinateurs, entre autres nuisancesnuisances, une backdoor. Vessel l'exploite en tentant d'entrer dans les ordinateurs contaminés par les ports 1080, 3127 et 3128. Il se copie alors dans le répertoire Windowssystem (ou system32) sous le nom sms.exe. Il ouvre ensuite le port 2766 et attend une connexion (backdoor TCP). Seul un "client" identifié par une clé cryptée (l'auteur du ver) peut utiliser cette connexion.

Il se connecte aussi à un serveur IRCIRC prédéfini et reste en attente de commandes envoyées par l'auteur (backdoor IRC). L'une ou l'autre des backdoors permettent le chargement et l'exécution sur l'ordinateur de n'importe quel programme, a priori nocif. Vessel supprime l'infection par Mydoom, mais interromp toute une série de processus, et surtout bloque une liste impressionnante de programmes antivirus et de pare-feux. Si l'ordinateur utilise le système P2P SoulSeek, il se recopie sous toute une série de noms attractifs dans le répertoire partagé, ce qui constitue sa deuxième méthode de propagation.

Mydoom.C

Le ver Doomjuice.A (appelé par certains Mydoom.C) est apparu le 9 Février et exploite, lui aussi, les machines infectées par Mydoom.A. Il pénètre par le port 3127, ouvert par la backdoor de Mydoom, et se copie dans le répertoire system (comme le précédent). Il lancera des attaques DDoSDDoS contre www.microsoftmicrosoft.com du mois de Mars au mois de Décembre.

Remarque générale

Ces nouveaux vers devraient se répandre beaucoup moins que Mydoom.A. En effet ils scannent les adresses IPadresses IP au hasard et il faut qu'ils trouvent des ordinateurs préalablement infectés par Mydoom.

Les sources consultées ne disent pas si le mécanisme de scan est rapide ou non mais on peut légitimement penser que leur propagation ne sera pas très rapide. De plus on peut espérer que beaucoup d'ordinateurs victimes de Mydoom ont été désinfectés, ce qui limite les cibles potentielles.