Scob, une nouvelle génération d’attaques virales ?

Scob (JS.Scob.Trojan ou Download.Ject) inaugure une nouvelle stratégie infectieuse. Il ne s’agit pas d’un virus ou d’un ver – qui se propagent traditionnellement par envoi et réception de courrier électronique – mais d’un script qui infecte la machine de l’utilisateur lorsque celui-ci visite simplement un site Web avec le navigateur Internet Explorer (IE). Et pas nécessairement un site dit « underground », bien au contraire. Les auteurs du code malin s’en seraient pris à des sites d’entreprises très populaires ainsi qu’à des établissements bancaires – pour l’heure, on ignore encore lesquels. Une fois l’ordinateur de l’utilisateur infecté, Scob enregistre les frappes au clavier, y compris et surtout les mots de passe et numéro de cartes bancaires, avant de les envoyer vers un serveur situé en Russie.

L’attaque a commencé autour du 20 juin 2004. Les pirates ont exploité une faille apparemment inconnue d’IIS 5.0, le logiciel serveur Web de Microsoft, pour copier un script en Javascript et modifier la configuration des serveurs afin que chaque page Web contienne le code malicieux. Microsoft reconnaît que les serveurs auxquels le correctif 835732 n’a pas été appliqué sont vulnérables – ce que confirme la société indépendante Internet Security Systems (ISS). Le script se diffuse en s’insérant automatiquement au fichier HTML sans modifier le contenu de la page en lui-même. Il est donc très difficile, si ce n’est impossible, de distinguer visuellement une page infectée d’une autre saine.

Une faille de sécurité encore inconnue

Une fois la page affichée sur le poste client, le code malicieux exploite deux failles connues et une autre encore inconnue et non corrigée d’IE pour télécharger et installer un cheval de Troie. Lequel active le logiciel espion qui va enregistrer et envoyer codes secrets et autres données confidentielles (notamment bancaires) aux auteurs de l’attaque ou leurs commanditaires.

Selon Microsoft, le site qui hébergeait ce Troyen a été fermé le 24 juin 2004. De plus, l’éditeur affirme avoir fait fermer, en collaboration avec les fournisseurs d’accès partenaires, les sites infectés. Selon la firme de Redmond, les utilisateurs n’ont plus rien à craindre depuis le 24 juin 2004. Les dernières mises à jour des antivirus reconnaissent désormais ce cheval de Troie et le neutralisent. Microsoft n’en recommande pas moins de mettre à jour son navigateur via le service Windows Update et de paramétrer le niveau de sécurité de la zone Internet au plus haut (menu Outils puis Options et onglet Sécurité). L’éditeur souligne également que les quelques bêta-testeurs et développeurs bénéficiant déjà du Windows XP SP2 Release Candidate 2 sont épargnés par l’attaque. Les experts en sécurité proposent plus simplement d’utiliser un autre navigateur, comme Mozilla.

Stratégie innovante

Pour vérifier si un PC a été infecté, il suffit de lancer une recherche des fichiers suivants : Kk32.dll et Surf.dat. Si leur présence se confirme, Microsoft conseille d’utiliser un outil de désinfection, proposé gratuitement par la plupart des éditeurs d’antivirus, pour nettoyer le poste infecté. Si le site qui hébergeait le Troyen a été neutralisé, le danger ne disparaîtra pas tant que les sites Web infectés n’auront pas été nettoyés. Il suffirait en effet de changer, dans le script malicieux, l’adresse IP du serveur du cheval de Troie pour relancer l’attaque.

Cette stratégie en deux temps innove à bien des égards et pourrait inaugurer une nouvelle génération d’attaques virales. D’abord, elle peut infecter les utilisateurs qui, en ne visitant que des sites recommandables et en prenant soin de ne pas ouvrir n’importe quelle pièce jointe à un courriel, se croient de facto protégés ou non concernés par les virus. Ensuite, les auteurs ont su exploiter des failles informatiques apparemment inconnues à ce jour. De quoi alimenter la paranoïa des internautes et responsables informatiques. Sans parler du déficit d’image

pour les produits de Microsoft en matière de sécurité.