Nimda. Autrement dit « admin » (version raccourcie d’Administrateur) à l’envers. Et derrière ce sobriquet se cache un virus redoutablement efficace. Il s’agit d’un ver (troj_nimda.a) qui aurait commencé à se propager le 18 septembre. Non destructeur, il embête par sa vitesse de propagation et ses propriétés infectieuses. Tellement que Symantec le classe dans la catégorie « 4 », la plus élevée. Au mieux, il ralentit les performances d’un réseau. Au pire, il fait tomber un serveur de courrier par une avalanche d’e-mails infectieux. Caractéristique originale, Nimda s’attaque autant aux serveurs Web Microsoft IIS (Internet Information Server) non sécurisés qu’aux PC de bureau utilisant Internet Explorer (5.0 et 5.01) et Outlook (ou Outlook Express). Le ver s’adaptant selon qu’il s’attaque à un serveur ou à une station de travail.
Sa méthode d’infection est relativement simple : il teste, les unes après les autres, les seize failles de sécurité répertoriées sur IIS, jusqu’à ce qu’il en trouve une qui le laisse entrer. Une méthode qui semble inspirée des récents et déjà populaires virus Code Red (I et II) et Code Blue. Dans le cas d’une infection d’un serveur IIS, Nimba entreprend de modifier les fichiers en « .htm » ou « .html » et « .asp » afin que les internautes qui visitent les pages reçoivent une copie du virus. Celle-ci leur parvient sous forme d’un fichier .eml (extension des fichiers e-mails d’Outlook Express) intitulé « readme.eml ». C’est ce fichier qui contient un script nocif qui, à son ouverture, infecte l’ordinateur hôte. Infection facilitée par la capacité d’Outlook à ouvrir automatiquement les fichiers .eml.
Nimda se répand aussi directement par courrier électronique sous forme d’un message, généralement doté d’un titre aléatoire et d’un corps vide, accompagné du document « readme.exe » éventuellement suivi d’une extension .com ou .wav. Exécutable à ne surtout pas lancer puisque c’est lui qui contient le code infectieux. La machine infectée voit son disque C: partagé sur le réseau. Nimda en profite pour se propager sur les autres disques disponibles sur le réseau. Le fichier infectant prendrait alors les noms de « sample.eml » et « desktop.eml », notamment. Il profite aussi du carnet d’adresses d’Outlook pour s’auto-envoyer à tous les contacts (méthode traditionnelle qui a pour effet de faire passer l’expéditeur présumé au mieux pour un imbécile ignorant, au pire pour un dangereux pirate).
Attention aux amalgames
Le virus n’infecte apparemment pas uniquement les ordinateurs mais aussi les esprits. On se demande notamment pourquoi le US Attorney General (l’équivalent du ministre de la Justice) John Ashcroft a mis en garde les internautes de l’existence de virus. Il a signalé que Nimda avait déjà infecté des centaines de millier d’ordinateurs dans le monde entier. Est-ce le rôle d’un haut fonctionnaire de la Justice que de se mêler de prévenir les internautes ? Où bien profite-t-il des récents attentats contre les Etats-Unis pour « surfer » sur la vague de la médiatisation ? Au point de faire des amalgames à la pertinence douteuse, en soulignant que Nimda et les attaques n’avaient aucun rapport. Qu’en sait-il, après tout ?
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…