La déferlante Storm frappe à nouveau

Quelques jours seulement après la fin annoncée de Storm, le ver a décidé de refaire entendre parler de lui. Les chercheurs de Symantec ont découvert de nouveaux domaines hébergeant le programme, lequel exécute une série d’exploits qui tentent d’infecter l’ordinateur de l’utilisateur.

Les domaines n’hébergent pour le moment aucune page active, ce qui oblige les chercheurs à associer les domaines à des attaques de spam, la méthode préférée de Storm pour attirer de nouvelles victimes.

« Ceci est tout à fait inhabituel. Il est également intéressant d’observer l’évolution, de la simple utilisation des techniques de social engineering pour propager le programme à l’exploitation pure et simple de vulnérabilités », écrit Vikram Thakur, chercheur chez Symantec. « Autrefois, les auteurs de Storm choisissaient directement de s’installer sur des sites Web ou dans des spams. Le programme ne vérifiait pas la présence de vulnérabilités particulières avant de semer sa graine. »

La découverte des nouveaux domaines intervient seulement quelques jours après l’annonce de la chute de 95% du réseau Storm. Certains chercheurs ont attribué cette dégringolade à l’amélioration des outils de sécurité et d’autres à l’émergence du nouveau botnet Kraken.

Mais il apparaît aujourd’hui que Storm se prépare à un nouvel assaut. Selon Vikram Thakur, le ver pourrait choisir la Fête des Mères pour lancer une campagne de spams ou opter pour une série d’injections iFrame. « Seul le temps confirmera la méthode employée pour cette nouvelle vague d’attaques », explique le chercheur. « C’est là un développement très intéressant dans l’histoire du ver Storm. »

Traduction de l’article Stom clouds gather again de Vnunet.com en date du 6 mai 2008