Histoire des virus informatique
Vers et Mass mailers

Michel Dubois
myshell.dubois@neuf.fr
http://vaccin.sourceforge.net

1  Le virage des années 2000

Après la grande vague des virus de macro, l'histoire des virus informatiques vit un nouveau virage au début des années 2000. Ce mouvement s'opère en deux temps. Tout d'abord nous assistons à l'apparition des mass mailers puis au retour en force des vers. Cette évolution est liée aux transformations technologiques des ordinateurs et des réseaux d'une part, et à la démocratisation de l'Internet d'autre part.

L'évolution technologique des ordinateurs a progressé conformément à la loi de Moore1. En effet, le nombre de transistors par processeur est passé de 23002 en février 1972 à 42 000 0003 en novembre 2000. Ce phénomène a pour conséquence une augmentation exponentielle de la puissance des ordinateurs et une diminution de leur encombrement et de leur coût.

Parallèlement, le développement de l'Internet continue. Les réseaux deviennent de plus en plus rapides et leurs bandes passantes augmentent. Le nombres d'ordinateurs connectés à l'Internet croît de façon exponentielle, passant de 213 en août 1981à 394 991 609 en janvier 2006.

La conjonction de ces phénomènes fait que l'accès à l'Internet devient plus facile et moins coûteux. Le nombre d'Internautes dans le monde varie de 384 millions en 2000 à 724 millions en 2006. Pour la France, le nombre d'internautes passe de 11 millions en mai 2001 à 27 millions en décembre 2005. Malheureusement cette évolution n'entraîne pas de prise en compte des risques liés à l'élargissement des réseaux.

1.1  Les "Mass Mailers"

L'objectif des développeurs de virus informatique est que leur création se propage le plus largement et le plus rapidement possible. Plusieurs tentatives d'utilisation des services de l'Internet ont déjà eu lieu quelques années auparavant. Ainsi le ver Spanska utilise les newsgroup pour se propager. À la fin des années 90, l'utilisation massive des emails en fait un excellent vecteur de propagation.

1.1.1  Ska - Happy99

Le premier virus qui se propage en masse par email est le ver Ska alias Happy99. Profitant de la standardisation de l'usage de Microsoft Outlook, il provoque une épidémie mondiale en janvier 1999. Ska se propage d'ordinateurs en ordinateurs sous forme de pièce jointe d'un email ou d'un message de news. Si le fichier joint est exécuté, Ska ouvre une fenêtre affichant un feu d'artifice animé. Pendant ce temps, Ska modifie le fichier wsock32.dll afin de surveiller les accès au réseau réalisés à partir de l'ordinateur. Ensuite, dès que l'utilisateur envoie un email ou un message dans les newsgroup, un deuxième email, contenant le virus, est envoyé automatiquement au destinataire, à l'insu de l'utilisateur.

Son mode d'infection détaillé se déroule selon les étapes suivantes. Un an après sa mise en circulation, Ska fait toujours partie du top 10 mondial des virus les plus fréquents. Son auteur Spanska est français. Dans le numéro 4 de la publication électronique du groupe 29A (voir Fig. 1) il explique que son virus est à la fois:
I designed this piece of code starting from an obvious observation: nowadays, people exchange more internet messages than programs or disks. If our goal is the number of in-the-wild infections, I think we all have to rethink the classical infecting scheme. The minimal infection unit is no more a program, it's a connected computer. No need to infect 500 files on one computer. One is enough. Think about all the newcomers on the internet who bought a computer for Christmas, and who know nothing about safe computing. These perfect victims form a network big enough to ensure a critical mass for a massive infection. I really think internet-aware viruses are the future of autoreproducing programs. Indeed, 1999 was the Year of the Worms.
Spanska HAPPY99 hybrid (c) 1999 by Spanska (1999, ezine 29A n°4)


Figure 1: Extrait de l'article de Spanska à propos de Ska


Dans le même article, il justifie son action en partant du constat que si un pirate souhaite infecter le plus grand nombre d'ordinateurs il doit changer de méthode. En effet, selon lui, l'unité minimale d'infection ne se situe plus au niveau des fichiers exécutables mais au niveau des ordinateurs en réseau. Il n'est donc plus utile d'infecter de nombreux fichiers sur une même machine, un seul suffit. Il conclut sa description en affirmant que les virus utilisant l'Internet sont les programmes autoreproducteurs de l'avenir!

1.1.2  Melissa

Melissa est un nom féminin d'origine grecque (LGRcmrbnm'elissa) signifiant abeille. C'est aussi le nom du premier virus de macro pour Word avec fonction de ver Internet4.

Melissa est déposé par son auteur, le vendredi 26 mars 1999, dans le groupe de discussion alt.sex sous la forme d'un fichier Word, list.doc, censé contenir une liste de mots de passe d'accès à des sites pornographiques. L'impact initial du virus est considérable, en deux jours, il se propage dans le monde entier. De nombreuses entreprises sont obligées de fermer leurs serveurs d'emails. Durant le Week End du 27-28 mars, Microsoft annonce que seuls deux de ses cinq serveurs d'emails sont opérationnels. En moins de trois heures, le nombre estimé d'emails générés par Melissa est estimé à 500 millions. Plusieurs experts annoncent qu'ils n'ont jamais vu un virus se répandre aussi rapidement et à aussi grande échelle.

En fait, Melissa est un virus de macro Word classique. La première fois qu'un document infecté est ouvert, le virus détermine la version de Microsoft Word - Word 97 ou Word 2000 - et désactive le dispositif de sécurité des macros. Il se copie ensuite dans le fichier de modèle de document: normal.dot. 
Twenty-two points, plus triple-word-score,
plus fifty points for using all my letters.
Game's over. I'm outta here.


Figure 2: Premier message inséré par Melissa


 
Word/Melissa written by Kwyjibo
Works in both Word 2000 and Word 97
Worm? Macro Virus? Word 97 Virus? Word 2000
Virus? You Decide!
Word -> Email | Word 97 <-> Word 2000 ...
it's a new age!


Figure 3: Deuxième message inséré par Melissa


Ce qui fait l'intérêt de ce virus ce sont ses deux charges utiles. La première d'entre elles consiste à contrôler si le nombre des minutes de l'heure en cours correspond au nombre du jour du mois en cours5. Dans ce cas, le virus insère le texte de la figure 2 dans le document actif et le texte de la figure 3 dans les commentaires. Après analyse, le premier message vient d'un épisode de la série de télévision The Simpsons intitulé Bart the Genius durant lequel, la famille simpsons joue au scrabble et Bart annonce K-W-Y-J-I-B-O...Kwyjibo. 22 points...plus 50 points for using all my letters! Game's over, I'm outta here...6. Le même Bart définit alors le mot Kwyjibo comme étant a big, dumb, balding, North American ape with no chin...7.

La deuxième charge de Melissa est la source de son succès. Il s'agit de sa procédure de reproduction. Une fois que le virus a désactivé les protections contre les macros, il utilise la fonction CreateObject() pour ouvrir une instance de Microsoft Outlook. Une fois la session Outlook ouverte, le virus contrôle qu'il n'a pas déjà infecté l'ordinateur. Ensuite, Melissa parcours le carnet d'adresses emails de l'utilisateur par défaut. Pour chaque entrée du carnet, il crée un email dont le sujet est: Important message form <username><username> est remplacé par le nom sous lequel est enregistré la copie locale de Microsoft Word. Le corps de l'email est: Here is that document you asked for ...don't show anyone else ;-) et enfin Melissa joint le fichier Word qu'il vient d'infecter et envoie l'email.

Face aux conséquences de Melissa, les autorités judiciaires et policières réagissent très vite. L'auteur du virus est identifié et arrêté le 1er avril 1999. Il s'agit de David Smith, un programmeur du New Jersey âgé de 31ans. Une fois appréhendé, l'auteur indique que le nom du virus lui a été inspiré par une strip-teaseuse qu'il admirait. Le 9 décembre 1999, il est reconnu coupable et condamné à une peine de 20 mois de prison et une amende de 400 000 dollars.

1.1.3  Love Letter

Un an après Melissa, le virus LoveLetter alias I Love You ou Love Bug bat un nouveau record le jeudi 4 mai 2000. Se propageant beaucoup plus vite que Melissa, il infecte en quelques heures, des milliers d'ordinateurs de particuliers ainsi que des réseaux d'entreprises et d'institutions comme la Central Intelligence Agency (CIA) ou le parlement anglais. Durant près de cinq heures, le ver se progage de l'Asie aux États-Unies en passant par l'Europe, sous la forme d'un email intitulé ILOVEYOU et contenant un fichier joint: LOVE-LETTER-FOR-YOU.TXT.vbs. Afin de limiter sa propagation et de sécuriser leurs installations, de nombreux administrateurs systèmes sont obligés d'éteindre leurs serveurs emails.

LoveLetter est un mass mailer8. Son impact important est dû principalement au fait que, peu d'utilisateurs ou d'administrateurs informatiques, imaginaient qu'un fichier écrit en Visual Basic Script puisse être un virus. Ainsi, lorsque l'email ILOVEYOU arrive dans un ordinateur, il suffit que l'utilisateur clique sur la pièce jointe - LOVE-LETTER-FOR-YOU.TXT.vbs - pour activer et exécuter le virus. Ce dernier utilise aussi les canaux IRC pour se propager. Dans ce cas, il se présente sous la forme d'une page HTML contenant le script du virus.

Une fois lancé, le virus se recopie dans: Ensuite, il modifie la base de registre afin que ces fichiers soient exécutés automatiquement au démarrage de l'ordinateur. Une fois ces actions effectuées, le virus parcourt l'ensemble des disques durs locaux et réseaux de l'ordinateur et y remplace tous les fichiers au format VBS ou VBE par une copie de lui-même.

LoveLetter a plusieurs charges. L'une d'entre-elles, consiste à tenter d'installer un cheval de Troie voleur de mot de passe. Si l'ordinateur hôte du virus, est connecté à l'Internet, ce dernier envoie un email à mailme@super.net.ch contenant diverses informations sur l'ordinateur ainsi que le nom et le mot de passe de l'utilisateur. Enfin, la charge la plus marquante consiste à rechercher les fichiers CSS, JPEG, JPG, JS, JSE, HTA, MP2, MP3, SCT et WSH, à les cacher et à créer des fichiers de même nom en rajoutant l'extension VBS et en se recopiant dedans. La conséquence immédiate de cette dernière charge est que les utilisateurs affolés cliquent sur leurs images et fichiers de musiques perdus exécutant LoveLetter à chaque fois.

Même si le code de LoveLetter ressemble beaucoup à celui de Melissa, il existe des différences d'implémentation qui rendent LoveLetter plus efficace. Ainsi, LoveLetter se propage en s'envoyant par email à l'ensemble des adresses email du carnet d'adresses de l'utilisateur - et non pas aux cinquante premières adresses comme Melissa. De même, LoveLetter sauvegarde la liste des adresses qu'il a utilisé pour se propager. Ainsi, il peut s'envoyer automatiquement à toutes les adresses emails rajoutées par l'utilisateur dans son carnet d'adresses.

LoveLetter a été écrit aux Philippines par Onel de Guzman, étudiant en informatique de l'Ama Computer College. Il est arrêté par la police quelques jours après l'attaque de son virus puis libéré en l'absence de loi locale interdisant ce type d'activité. La justice de son pays a estimé qu'aucune charge ne pouvait être retenue contre lui. Le jeune homme a expliqué son geste lors d'une interview pour la revue Courrier International9. Il y défend, pour les pays pauvres, un accès gratuit à l'Internet pour tous afin de réduire les coûts importants des études.

Par la suite, LoveLetter a fait beaucoup d'émules, nous pouvons citer, par exemple, Timofonica, un ver écrit en Visual Basic Script appartenant à la catégorie des mass mailers découvert le 6 juin 2000. Sa particularité réside dans sa capacité à envoyer des Shorts Messaging service (SMS) aux utilisateurs du service de portables espagnol Telefonica.

1.2  Le retour des vers

Une nouvelle vague d'attaques virales commence au début des années 2001 et continue aujourd'hui encore. Elle est représentée par des vers comme CodeRed, Nimda ou encore Slammer. L'ampleur des épidémies qu'ils provoquent - à l'automne 2001, 90% des infections enregistrées leur est dûe - change la vision des entreprises et du public sur la sécurité informatique. Dorénavant les notions de Firewall et d'Antivirus se démocratisent. Ces vers sont caractérisés par: En 2001, les ordinateurs fonctionnant sous GNU/Linux sont visés par les vers Ramen et Lion. Ce dernier est particulièrement dangereux. En effet, après avoir infecté un ordinateur, il effectue plusieurs actions: En février 2001, le ver Gnutelman alias Mandragore infecte le réseau peer to peer Gnutella en se déguisant en fichier de recherche. Au mois de mai de la même année, le ver Sadmind utilise, pour se propager, une vulnérabilité par buffer overflow pour infecter les systèmes Sun Solaris et une autre vulnérabilité pour compromettre les serveurs Web Microsoft IIS.

1.2.1  Code Red

Le 18 juin 2001, la société eEye Digital Security11 publie une vulnérabilité par buffer overflow du serveur Web IIS de Microsoft. Une semaine plus tard, le 26 juin 2001, la société Microsoft publie un patch corrigeant la vulnérabilité. Le 12 juillet 2001, la première version de CodeRed commence à se propager en exploitant la vulnérabilité publiée un mois plus tôt12.

Une fois qu'il a infecté un ordinateur, le ver contrôle si la date du système est comprise entre le premier et le dix-neuf du mois. Si c'est le cas, CodeRed génère une liste aléatoire d'adresses IP et tente d'infecter les ordinateurs correpondants. Cette première version du ver, se propage lentement en raison de la mauvaise qualité de son générateur de nombres aléatoires. La liste des adresses IP fabriquées est quasiment identique sur chacun des ordinateurs contaminés par le ver. Le vingtième jour du mois, le ver est programmé pour arrêter de se propager. Il procède alors à son attaque qui consiste à déclencher des dénis de services sur le site Web de la maison blanche entre le vingt et le vingt-huit de chaque mois. Ensuite, le ver devient inactif jusqu'au début du mois suivant.

CodeRed est un ver résident en mémoire, un simple redémarrage de l'ordinateur suffit à le désinfecter. Ce qui ne met pas pour autant l'ordinateur à l'abri d'une nouvelle réinfection. Le ver doit son nom, d'une part, à la marque du café dégusté par les chercheurs de la société eEye Digital Security lors de la décompilation et de l'étude des mécanismes du ver dans la nuit du 12 au 13 juillet 2001 et, d'autre part, à la phrase affichée sur les sites Web qu'il déface: "Hacked by Chinese".

Le 19 juillet 2001, un changement s'opère dans la propagation de CodeRed. Une nouvelle version du ver disposant d'un meilleur générateur de nombres aléatoires apparaît. Ce changement mineur dans le code du ver entraîne un impact majeur: en 14 heures, 360 000 ordinateurs sont infectés dans le monde.

À la différence de CodeRed I, CodeRed II n'est pas résident en mémoire. Ainsi, même si l'ordinateur est redémarré, le ver est toujours présent. Ce n'est pas la seule différence entre les deux vers. En fait, CodeRedII est optimisé pour se reproduire à grande échelle. Enfin, le ver est plus dangereux que son prédécesseur: il installe un mécanisme de prise de contôle à distance de niveau administrateur sur l'ordinateur infecté. Contrairement à son prédécesseur, il ne déface pas les sites Web ni ne lance d'attaques par déni de service. Malgré tout, la backdoor installée, permet de transformer l'ordinateur infecté en "zombie" pour une future attaque par déni de service.

Dans un document13 publié le 29 août 2001, le General Accounting Office américain, détaille les impacts des vers CodeRed. Au final, ce sont 975 000 serveurs Web qui ont été infectés. Parmi les nombreuses conséquences des attaques, le site Web de la Maison Blanche a dû changer d'adresse IP et le ministère de la défense américain a dû fermer son site Web. Computer Economics Inc. a réalisé une estimation du coût des dégats occasionnés par CodeRed. Ceux-ci s'élèvent à 2,5 milliards de dollars14.

Toujours selon, le General Accounting Office, il semble que le ver ait été développé dans une université de la région de Guangdong en Chine.

1.2.2  Nimda

Un nouveau cap est franchi le 18 septembre 2001, une semaine seulement après les attentats du 11 septembre. Ce jour là, utilisant cinq techniques différentes pour se propager, le ver Nimda15 infecte, en 12 heures seulement, 450 000 ordinateurs dans le monde entier. Les vecteurs de diffusion utilisés ne sont pas nouveaux, ce qui l'est en revanche, c'est la combinaison de plusieurs d'entre eux dans un seul ver. Se propageant uniquement dans les environnements Microsoft Windows NT 4.0, 95, 98, 2000, ME, Nimda est à la fois un ver, un virus, un cheval de Troie, et de surcroît il utilise un accès caché16.
  1. Comme la plupart des vers récents Nimda, utilise les emails pour se propager. Dans le cas présent, le courrier électronique envoyé a un sujet aléatoire, le corps du message est vide, par contre, une pièce jointe, nommée readme.exe, y est attachée. Ce programme contient le code du ver lui-même. Contrairement aux vers précédents, l'utilisateur n'a pas besoin de cliquer sur le fichier pour l'exécuter. En effet, le fichier readme.exe est attaché à l'email avec un type MIME audio/x-wav, désignant les échantillons sonores. Lorsque le moteur HTML utilisé par Microsoft Outlook rencontre ce type MIME, il déclenche automatiquement la lecture de l'échantillon sonore en demandant au système d'exécuter le fichier. Ce mécanisme, très commode quand nous désirons sonoriser un email, devient plus dangereux quand il est contourné pour exécuter automatiquement un programme malveillant.

    Nimda constitue ensuite une liste d'adresses email en parcourant les pages Web stockées dans le cache de Microsoft Internet Explorer et les emails enregistrés sur l'ordinateur. Il envoie ensuite un email à chaque item de la liste et enregistre les paramètres de ce premier envoi. Par la suite, tous les dix jours un email sera renvoyé à ces destinataires.

  2. Une fois arrivé sur le système, Nimda se comporte comme un virus cherchant à se reproduire sur l'ordinateur hôte. Il commence par se copier, sous le nom load.exe, dans le répertoire système de Microsoft Windows. Ensuite il ajoute la ligne - shell = explorer.exe load.exe -dontrunold - dans la section [boot] du fichier system.ini. Ce mécanisme lui permet d'être relancé à chaque redémarrage de Windows. De plus, le ver implémente un mécanisme de mutex afin d'éviter les infections à répétition de la même machine. Ensuite, le ver parcourt récursivement l'ensemble des disques durs locaux et réseaux en ajoutant son propre code dans chacun des fichiers exécutables qu'il rencontre. Afin d'améliorer encore l'efficacité de sa diffusion, Nimda utilise un second mécanisme de prolifération. Dans son parcours des disques durs, lorsqu'il rencontre des fichiers documents de Microsoft Word, il ajoute, au répertoire les contenant, une copie de lui-même sous le nom riched20.dll. Cette action lui permet d'être exécuté à chaque ouverture des fichiers Word concernés. En effet, lors de son démarrage, Microsoft Word a besoin de certaines bibliothèques dynamiques, comme riched20.dll, qu'il cherche tout d'abord dans le répertoire courant.

  3. Nimda se comporte aussi comme un ver. Pour cela, il génère une liste aléatoire d'adresses IP et les scanne sur le port 80 à la recherche d'un serveur Web. Une fois sa cible identifiée, il exécute sur le serveur distant, un exploit implémentant une faille du serveur Web Microsoft IIS. En cas de réussite de l'attaque, le ver demande au serveur Web de télécharger son propre code en utilisant le protocole TFTP17 et en le sauvegardant sous le nom admin.dll. À partir de là, Nimda parcourt les répertoires du serveur contenant des fichiers Web, y ajoute un fichier readme.eml contenant une copie de lui-même avec le type MIME x-wav et modifie les pages Web en y insérant une routine javascript. Cette dernière, voir Code 3, provoque l'ouverture d'une page Web vierge et charge le fichier readme.eml qui, comme nous l'avons vu plus haut, se lance alors automatiquement infectant ainsi un nouvel ordinateur.

    <html> <script language="Javascript"> window.open("readme.eml",null,"resizable=no,top=6000,left=6000,"); </script> </html
    Code inséré par Nimda dans les fichiers HTML.

  4. Si les techniques de diffusion précédentes n'ont pas fonctionné, Nimda utilise la porte dérobée laissée par CodeRed deux mois plus tôt.

  5. Enfin, le ver installe sur les ordinateurs qu'il infecte ses propres portes dérobées en créant d'une part, un compte Guest de niveau administrateur et accessible sans mot de passe et d'autre part en installant un partage caché du disque C:.
Nimda ne contient pas de bombe logique, cependant, sa propagation n'est pas sans conséquence. En particulier, le trafic réseau engendré lors de sa recherche de serveurs Web vulnérables engendre une altération notable de la bande passante. Un second phénomène provoqué par sa diffusion est un engorgement important des serveurs emails. Enfin, lors de sa reproduction au sein d'un même ordinateur, nous avons vu qu'il se rajoute à tous les fichiers exécutables. Pesant 56 Ko, Nimda finit par remplir les disques durs des ordinateurs personnels.

Aujourd'hui encore, Nimda est actif, le nombre d'ordinateurs infectés dans le monde depuis le 18 septembre 2001 est estimé à 1,7 millions.

1.2.3  Slammer

Le ver Slammer alias Sapphire est le ver le plus rapide de l'histoire de la virologie informatique. S'attaquant aux serveurs Microsoft SQL, il infecte 90% des ordinateurs vulnérables dans le monde en moins de dix minutes. Le nombre de machines infectées doublant toutes les 8,5 secondes18, il est impossible de mettre en place une contre-offensive. Slammer commence son infection vers 5h30 GMT le samedi 25 janvier 2003. Il exploite une vulnérabilité par buffer overflow affectant Microsoft SQL Server et MSDE 200019, signalée et corrigée par Microsoft en juillet 2002. Malgré la publication du correctif six mois auparavant, ce sont 75 000 ordinateurs vulnérables qui seront infectés en moins de dix minutes.

Le ver exécute 55 millions de scans réseaux par seconde, après trois minutes, il a couvert l'ensemble des ordinateurs disponibles. À partir de cet instant, la vitesse de progression de l'attaque diminue en raison de la surcharge de la bande passante. Même si Slammer ne contient pas de bombe logique, il provoque de graves dommages simplement en surchargeant les réseaux informatiques et en rendant innopérant les serveurs de base de données Microsoft SQL. Il occasionne aussi des dommages collatéraux, ainsi cinq des treize serveurs DNS centraux sont en panne durant toute la journée du 25 janvier. 
I'm getting massive packet loss to various points on the globe.
I am seeing a lot of these in my tcpdump output on each host.
02:06:31.017088 150.140.142.17.3047 > 24.193.37.212.ms-sql-m: udp 376
02:06:31.017244 24.193.37.212 > 150.140.142.17: icmp: 24.193.37.212 udp port ms-sql-m unreachable [tos 0xc0
It looks like there's a worm affecting MS SQL Server which is
pingflooding addresses at some random sequence.
All admins with access to routers should block port 1434 (ms-sql-m)!
Everyone running MS SQL Server shut it the hell down or make
sure it can't access the internet proper!
I make no guarantees that this information is correct, test it
out for yourself!
-- 
Michael Bacarella 24/7 phone: 646 641-8662
Netgraft Corporation http://netgraft.com/
"unique technologies to empower your business"
 
Finger email address for public key. Key fingerprint:
C40C CB1E D2F6 7628 6308 F554 7A68 A5CF 0BD8 C055


Figure 4: L'email d'alerte annonçant le début de l'attaque de Slammer


Slammer est un ver léger - seulement 376 octets - écrit en langage assembleur. C'est un ver résident en mémoire n'effectuant aucun accès en écriture sur les disques durs des ordinateurs, il existe uniquement sous la forme d'un paquet réseau et d'un processus sur les machines infectées. Une fois qu'il a attaqué un ordinateur vulnérable, il lance une boucle infinie de scans réseaux. Utilisant la fontion GetTickCount() de l'API Win32 pour initialiser son générateur de nombres aléatoires, il utilise ces nombres pour fabriquer des adresses IP. Dès qu'il a détecté un ordinateur vulnérable, il ouvre une socket sur le port UDP 1434 de la machine distante et se copie dessus.

1.3  Domination des vers et mass mailers

L'avènement de Slammer constitue un tournant dans l'évolution des vers. D'autres attaques similaires suivent par la suite. En fait, les vers mass mailers et les vers de réseau se partagent le palmarès des infections virales de 2001 à nos jours. Ainsi, après Slammer, c'est le ver Blaster alias LoveSan qui provoque une épidémie mondiale en août 2003. S'appuyant sur la vulnérabilité RPC DCOM, touchant les systèmes Microsoft Windows 2000/XP, il infecte une grande majorité des ordinateurs connectés à l'Internet. De plus, LoveSan introduit une nouvelle tendance dans le monde des vers, il inclut, en effet, une charge offensive mettant en oeuvre une attaque par Distributed Deni of Service sur des sites Web d'entreprises.

Dans le même temps, un mass mailer fait beaucoup parler de lui. Il s'agit du ver Sobig dont l'épidémie a débuté en janvier 2003. Au point culminant de l'épidémie, il infecte un email sur 10 dans le monde. Il met en oeuvre une nouvelle technique pour augmenter sa vitesse de propagation. En effet, il utilise les accès cachés laissés par l'un de ses prédécesseurs ou par l'une de ses variantes. Ainsi la version "f" de Sobig, de loin la plus virulente, s'appuie sur des failles laissées par ses variantes précedentes. D'autres vers, comme Swen, Dumaru ou Sober, aparaissent vers la fin de l'année 2003.

En 2004, c'est le ver Mydoom qui ouvre les hostilités. Le lundi 26 janvier, vers 18h00 GMT, il commence à se propager par emails et par le réseau peer to peer "KaZaA". En sept jours, il infecte plus de 20 millions d'emails et près d'un million d'ordinateurs. Un mois plus tard, le nombre d'emails infectés s'élève à 54 millions. Comme ses prédécesseurs Sobig et Dumaru il contient, dans son code, une date de fin d'activité et stoppe sa propagation le 12 février 2004.

Durant le premier semestre 2004, deux vers s'affrontent littéralement: Netsky et Bagle. Ce dernier, s'appuyant sur une faille laissée par son prédecesseur Mitglieder, installe un cheval de Troie sur les machines qu'il infecte. Peu de temps après, la première version de Netsky apparaît, il commence par supprimer Mydoom, Bagle et Mimail sur les machines qu'il infecte. Les auteurs de Bagle ripostent en publiant une nouvelle version de leur ver contenant, dans son code, des injures destinées aux auteurs de Netsky. Au plus fort de la bataille, trois versions de chaque ver apparaissent dans l'espace d'une journée.

En avril 2004, Sasser commence à se propager. C'est un ver Internet qui utilise la faille LSASS affectant les systèmes Microsoft Windows. Il se connecte directement à l'ordinateur sur le port 445 et, si l'attaque fonctionnne, infecte la machine et scanne d'autres adresses IP à la recherche de systèmes vulnérables. Nous avons vu qu'il s'est écoulé près de six mois entre la publication de la vulnérabilité Microsoft SQL Server et son exploitation par Slammer. Dans le cas de Sasser, moins d'une semaine s'est écoulée entre la publication de la faille Microsoft LSASS et son exploitation par le ver.









En 1949, John Louis von Neumann publiait sa théorie sur les automates cellulaires. Près de cinquante ans plus tard, la diversité de programmes autoreproducteurs est impressionnante. À partir des premiers warriors s'affrontant dans une mémoire virtuelle, les techniques d'autoreproduction logicielles se sont améliorées et optimisées pour aboutir à ce que nous connaissons aujourd'hui: une multitude de virus et de vers se propageant dans le monde entier dans un temps de plus en plus court.

Bien sûr, on peut penser qu'aucun des mathématiciens et chercheurs à l'orgine de ces techniques, n'auraient imaginé de telles conséquences pour leur travaux. Pourtant, aujourd'hui, le terme de virus fait frémir. De l'utilisateur jusqu'à l'adminstrateur système en passant par le chef d'entreprise ou le responsable sécurité informatique, tous n'ont qu'une crainte: voir leur système informatique et toutes les informations qu'ils contiennent anéantis par un virus.

1
La première loi de Moore a été énoncée en 1965 par Gordon Moore, ingénieur de Fairchild Semiconductor et cofondateur de Intel. Elle indiquait que la complexité des semi-conducteurs doublait tous les ans depuis 1959, date de leur invention. En 1980, Moore énonça une seconde loi selon laquelle le nombre de transistors des microprocesseurs sur une puce de silicium double tous les dix-huit mois. Entre 1971 et 2001, la densité des transistors a doublé toutes les 1,96 années.
2
Nombre de transistors sur le Processeur Intel 4040.
3
Nombre de transistors sur le Processeur Intel Pentium IV.
4
Melissa - The Little Virus That Could - Ian Whalley - Virus Bulletin mai 1999
5
Par exemple s'il est 11h15 et que nous sommes le 15 décembre.
6
K-W-Y-J-I-B-O...Kwyjibo. 22 points...plus 50 points pour l'utilisation de toutes mes lettres! Le jeu est fini, je suis hors d'ici...
7
un grand singe nord américain, muet, chauve, sans menton...
8
When Love came to Town - Nick Fitzgerald - Virus Bulletin juin 2000.
9
Le pirate qui voulait dire I love you - Cristiano Bortone - Courrier Internationale Numéro 529. Téléchargeable sur http://courrierinternational.com/numeros/529/052908301.asp?TYPE=archives
10
Tribal Flood Network 2000
11
eEye Digital Security, "Advisories and Alerts: AD20010618" - http://www.eeye.com/html/Research/Advisories/AD20010618.html.
12
Code-Red: a case study on the spread and victims of an Internet worm - David Moore, Colleen Shannon, Jeffery Brown
13
Information Security - Code Red, Code Red II, and SirCam Attacks Highlight Need for Proactive Measures téléchargeable sur http://www.gao.gov/new.items/d011073t.pdf.
14
Outre les impacts économiques directs liés aux attaques du ver, ce calcul prend en compte les frais de désinfection des serveurs et de retour à un fonctionnement normal.
15
"Nimda" - "Admin" à l'envers.
16
Virologie: Nimda - Christophe Blaess - article téléchargeable sur http://www.blaess.fr/christophe/publications/articles/article_MISC_01/index.html
17
Trivial File Transfert Protocol - RFC 783
18
En comparaison, la population d'ordinateurs infectés par CodeRed a doublé pour la première fois 37 minutes après le début de l'attaque.
19
Microsoft SQL Server Desktop Engine 2000.
Page précédente SourceForge.net Logo
This document was translated from LATEX by HEVEA.