Une variante du ver MyDoom exploite une faille I.E.

Parmi les vers informatiques qui se sont lancés à l’assaut d’Internet Explorer ces jours derniers, il s’avère qu’il s’agit, dans la plupart des cas, de variantes du trop fameux ver MyDoom! Elles seraient particulièrement nuisibles auprès des PC domestiques et hors des grands réseaux d’entreprise. Ces nouvelles variantes du virus MyDoom se répandent sur le Web. Découvertes par McAfee et Symantec, reprises par l’ensemble des éditeurs d’anti virus, elles se propagent sur les messageries électroniques sous la forme d’un e-mail.

MyDoom.AG joue la carte de l’innovation A la différence de ses prédécesseurs, MyDoom.AG ne s’appuie pas sur une pièce jointe, mais sur un lien qui ouvre une page Web et télécharge en arrière plan le virus afin d’infecter le poste. Côté innovation, pour la première fois, le ver ne véhicule pas de code malicieux par email ce qui le rend difficile à détecter avec précision sur les Gateway. Il embarque également son propre serveur web et sa façon de fonctionner ressemble à celle du peer to peer puisque qu’il n’y a plus de SPOF (Single point of failure) ! L’e-mail support de MyDoom.AG adopte une forme classique, profitant de la naïveté de l’internaute et de l’attirance de certains d’entre eux pour ce qui se passe en dessous de la ceinture. « FREE ADULT VIDEO! SIGN UP NOW! » ou « Look at my homepage with my last webcam photos! » figurent parmi les messages destines à attirer l’attention du badeau ! MyDoom.AG exploite la dernière faille découverte dans Internet Explorer 6, au même titre que le très récent ver Bofra (lire notre article). La faille permet l’interprétation de certaines balises html, comme ‘frame‘ et ‘iframe‘, peut entraîner une saturation de la mémoire (buffer overflow) et permettre à un individu malveillant de prendre le contrôle à distance du poste. L’exploitation de cette faille vient apporter la démonstration de la rapidité avec laquelle une information publiée sur un site peut se diffuser, et surtout la rapidité à laquelle les auteurs de virus ou de vers sont aujourd’hui capables d’exploiter cette information. La faille critique, qui touche IE6, mais aussi Outlook ou Lotus Notes, est couverte par le Service Pack 2 de Windows XP, mais menace les postes sous Windows XP SP1 et antérieur, ainsi que sous Windows 2000, sur lesquels aucun antidote n’est encore disponible. Microsoft travaille au développement d’un ‘patch’ pour corriger la faille.