From: C y b e r T e c h @ L i s t s . E x M a c h i n a . n e t
<http://www.cybercafe21.net> & <http://www.cybercafe21.tv>
Un nouveau virus-ver a fait une entr�e fracassante le 18 septembre en
affolant tous les sp�cialistes de la s�curit� virale. Baptis�
"W32.Nimda.A@mm" ou plus simplement "Nimda", il s'av�re pour l'instant peu
dangereux mais se propage � grande vitesse sur la toile. Il aurait d�j�
satur� plusieurs milliers de syst�mes en Europe, aux �tats-Unis et en
Am�rique latine.
Devant cette nouvelle menace les �diteurs de logiciels antivirus et les
centres d'alerte n'h�sitent pas � parler du "successeur de Code Red", dont
les d�g�ts dans le monde ont �t� �valu�s � pr�s de 2,4 milliards de dollars.
Principale nouveaut� de Nimda, il vise autant les serveurs que les
ordinateurs personnels. Il se r�pand de diff�rentes mani�res selon le type
de cible. Pour les ordinateurs personnels, la contamination peut s'effectuer
en visitant simplement un site web infect�, via le t�l�chargement d'une
applet Java. Mieux vaut donc temporairement d�sactiver la console Java du
navigateur.
Un virus qui draine les ressources des syst�mes
Autre moyen de propagation: le d�sormais classique courrier pi�g�. Le
message �lectronique contenant Nimda se pr�sente sous la forme d'un email
sans titre ni contenu texte, mais accompagn� d'une pi�ce jointe baptis�e
"readme.exe". Bien entendu il ne faut pas l'ouvrir et, pour se prot�ger de
tout danger d'infection, notamment par l'interm�diaire d'un site web, il est
conseill� de mettre � jour son logiciel antivirus.
Lorsqu'il vise un serveur, Nimda exploite une faille d�j� connue (d�couverte
en octobre 2000) du logiciel de serveur web Internet Information Server
(IIS) de Microsoft. Des patches (programmes correctifs) sont d�j� en ligne
pour combler cette faille.
Les d�g�ts de Nimda restent pour l'instant l�gers. Son nom, qui pourrait
�tre l'anagramme de l'abr�viation "admin", pour administration, laisse �
penser que l'objectif du virus n'est d'ailleurs pas de d�truire des machines
mais plut�t de compliquer le travail des administrateurs r�seaux, bref, de
polluer la toile.
La vocation de Nimda est avant tout de ralentir les syst�mes, les serveurs
comme les PC, en saturant leur m�moire lors de sa r�plication.
Un travail de professionnel
Sur PC, il se reproduit classiquement via les outils de messagerie (Outlook
et autres), indique l'�diteur antivirus Symantec, en s'envoyant � l'ensemble
des adresses pr�sentes dans la liste de contacts. Sur un serveur, il cherche
l'ensemble des autres serveurs IIS en scannant les adresses IP. Ces
op�rations accaparent bien entendu des ressources et ralentissent les
syst�mes. Jusqu'ici aucun d�g�t lourd, comme l'effacement de donn�es sur le
disque dur, n'a �t� constat�. Dans certains cas, Nimda aurait n�anmoins
alt�r� le contenu de sites h�berg�s sur les serveurs contamin�s.
Selon des propos recueillis par notre r�daction de Munich aupr�s d'un
repr�sentant de Trend Micro, �Nimda est trop complexe� pour �tre l'oeuvre
d'une seule personne. �Cela doit �tre le travail de plusieurs programmeurs,
le code contient notamment des parties de Code Red et de Code Blue coupl�es
� un g�n�rateur d'emails de type "mass-mailer"�.
�Les serveurs infest�s subissent une grosse charge r�seau� confirme le
responsable de la soci�t� fran�aise Strongholdnet dans un forum sp�cialis�,
qui a rep�r� le virus-ver hier vers 15heures. Il conseille aux �utilisateurs
de IE [de] d�sactiver le Javascript�. Il ajoute: �De nombreux sites fran�ais
sont d�j� contamin�s. Nous confirmons un trafic plus important sur les
firewalls que nous administrons d� � des machines infect�es�.
SOURCE ZDNet France 19/09/01
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
CCTK vous est offert par Emakina <http://www.emakina.com>
Pour vous desabonner <mailto:[EMAIL PROTECTED]>
