Inquiétudes autour de la propagation du ver Zotob

Deux jours seulement auront été nécessaires à ses auteurs pour que le ver Zotob exploite l’une des dernières failles découvertes de Windows. Cette réactivité explique peut-être sa vitesse de propagation. Les éditeurs de solutions antivirales rapportent « des centaines d’infections », essentiellement aux Etats-Unis mais aussi en Allemagne. Apparu le 11 août , Zotob et ses variantes (Zotob.A, B et C, Rbot, Tilebot-F…) aurait notamment créé des interruptions de service dans les rédactions de CNN, ABC, The Financial Times et The New York Times, rapporte l’éditeur Sophos. Autrement dit, les auteurs de la bestiole ont pris de vitesse les responsables informatiques qui ont tardé à mettre à jour leurs systèmes, alors que Microsoft propose un correctif depuis le 9 août dernier (voir édition du 10 août 2005). Pour mémoire, Sasser, l’un des vers les plus virulents de l’année 2004, était apparu 14 jours après la découverte de la faille qu’il exploitait.

Zotob et ses variantes s’appuient sur la défaillance du système plug-and-play référencée dans le bulletin MS05-039 de Microsoft. Une fois en place, le ver tente de désactiver les logiciels antivirus installés sur la machine infectée, particulièrement les services de mise à jour de ces applications. En se connectant à un serveur IRC, il permet également à son propagateur de prendre le contrôle à distance de l’ordinateur infecté. Cela facilite la propagation de l’infection dans un réseau local et permet également de se servir de la machine pour envoyer des spams ou encore pour installer un logiciel espion de type keylogger, qui enregistrera toutes les données saisies au clavier, y compris mots de passe et numéro de cartes de crédit.

Plusieurs groupes de pirates

Si la faille touche plusieurs systèmes Windows (XP, 2000, Server 2003), les attaques semblent se concentrer sur les plates-formes Windows 2000 exclusivement. « Si vous utilisez n’importe quelle autre version de Windows que Windows 2000, vous ne risquez rien de Zotob et ses variantes », souligne Microsoft dans un article consacré à l’agent infectieux. Du coup, l’éditeur maintient à « faible » son niveau d’alerte. Si, de son côté, Symantec juge le risque « moyen », McAfee préfère monter le niveau à « élevé », tant pour les entreprises que les particuliers.

Et le mouvement pourrait s’emballer. L’éditeur Sophos rapporte que « plusieurs groupes de pirates déclenchent des déluges de vers à travers une bataille pour prendre le contrôle des ordinateurs ». Ainsi, Zotob-F (également baptisé Bozori) désinfecte les ordinateurs victimes d’une version plus ancienne de Zotob pour les compromettre au seul profit de ses auteurs. Lesquels, selon Sophos, sont des organisations criminelles parfaitement organisées dont le but principal est « de faire de l’argent ». Zotob, Tpbot, ExpPNP-A, Rbot-AKM, Sdbot-ACG… Sophos rapporte déjà une douzaine de variantes du ver qui exploitent la faille MS05-039. Pour s’en prémunir, le plus simple est évidemment d’appliquer le correctif de Microsoft, puis de s’assurer que son antivirus est bien à jour.