Attaques contre Microsoft : DoomJuice.B prend le relais

Un véritable acharnement ! Après MyDoom.A puis MyDoom.B (voir édition du 4 février 2004), le virus DoomJuice.B succède à DoomJuice (voir édition du 10 février 2004). Comme son prédécesseur, DoomJuice.B profite du port 3127 ouvert par MyDoom (A ou B) pour s’introduire dans les machines infectées. Une fois en place, le ver crée une copie de lui-même nommée Regedit.exe dans le dossier Système et édite une entrée dans la base de registres afin de se charger à chaque démarrage de Windows. DoomJuice.B est alors programmé pour lancer des attaques incapacitantes (denial of service ou DoS) sur le serveur de Microsoft, tous les jours sauf entre le 8 et le 12 de chaque mois. Le ver n’ayant apparemment pas de date d’arrêt définitif des attaques, les attaques ne s’arrêteront donc que quand il aura été totalement éradiqué. « Tant qu’il y aura une contamination de MyDoom, DoomJuice continuera à se propager », prévient Marc Blanchard, directeur du Centre de recherche antivirus de Kaspersky Labs.

Ce nouveau virus sera-t-il plus efficace que son prédécesseur ? En tout cas, DoomJuice.B est mieux armé que son grand frère. « Le programme de l’attaque par déni de service est changé de manière à rendre plus difficile le blocage des requêtes HTTP du ver », souligne l’éditeur Sophos. Autrement dit, les requêtes envoyées par DoomJuice.B ne se distinguent pas de celles effectuées par n’importe quel utilisateur à partir de son navigateur, ce qui interdit au serveur tout filtrage potentiel afin d’éliminer les requêtes malsaines. D’autre part, la nouvelle variante se veut plus virulente que l’original. « L’attaque DoS de DoomJuice.B lance deux fois plus de requêtes que son prédécesseur en lançant entre 32 et 192 processus au lieu de 16 à 96 pour DoomJuice.A », note la société d’analyse Netcraft. A l’heure de la rédaction de cet article, le site Microsoft.com est toujours disponible. Si la société Netcraft a noté une baisse de régime des serveurs de Microsoft en milieu de journée du 9 février, elle ne révèle aucune incidence particulière depuis le 11 février.

Une nouvelle génération de virus

Reste à savoir qui se cache derrière ces virus dont le seul but semble de nuire à Microsoft. Apparemment, le ou les auteurs de DoomJuice seraient les mêmes que ceux de MyDoom. Mais on n’en sait pas plus. « Beaucoup de développeurs sont contre Microsoft », avance Marc Blanchard. Autrement dit, MyDoom et ses avatars ne relèveraient pas du cambriolage financier comme Mimail (qui recherchait les numéros de cartes bancaires). « Il semble que MyDoom et DoomJuice soient la mise en application d’un protocole, WormNet, étudié il y a quelques années : une enveloppe vide qui attend les virus afin de les redistribuer à grande échelle et en continu », analyse le directeur du labo de Kaspersky. MyDoom serait alors le test en grandeur nature de cette technique d’infection. « A l’avenir, il faut s’attendre à recevoir ces nouvelles générations de virus modulaires », prévient le spécialiste. En attendant, pensez à mettre à jour vos antivirus.