L'auteur du ver Zotob qui a infecté les PC non patchés sous Windows 2000, affectant ainsi l'activité de nombre d'entreprises, notamment américaines (voir édition du 17 août 2005), a été arrêté à Rabat au Maroc. Selon un communiqué de la Direction générale de la sûreté nationale, il s'agirait d'un jeune homme de 18 ans impliqué dans un réseau de fraude à la carte bancaire. Il aurait également des complices en Turquie.
Inquiétudes autour de la propagation du ver Zotob
Deux jours seulement auront été nécessaires à ses auteurs pour que le ver Zotob exploite l'une des dernières failles découvertes de Windows. Cette réactivité explique peut-être sa vitesse de propagation. Les éditeurs de solutions antivirales rapportent "des centaines d'infections", essentiellement aux Etats-Unis mais aussi en Allemagne. Apparu le 11 août , Zotob et ses variantes (Zotob.A, B et C, Rbot, Tilebot-F...) aurait notamment créé des interruptions de service dans les rédactions de CNN, ABC, The Financial Times et The New York Times, rapporte l'éditeur Sophos. Autrement dit, les auteurs de la bestiole ont pris de vitesse les responsables informatiques qui ont tardé à mettre à jour leurs systèmes, alors que Microsoft propose un correctif depuis le 9 août dernier (voir édition du 10 août 2005). Pour mémoire, Sasser, l'un des vers les plus virulents de l'année 2004, était apparu 14 jours après la découverte de la faille qu'il exploitait.
Zotob et ses variantes s'appuient sur la défaillance du système plug-and-play référencée dans le bulletin MS05-039 de Microsoft. Une fois en place, le ver tente de désactiver les logiciels antivirus installés sur la machine infectée, particulièrement les services de mise à jour de ces applications. En se connectant à un serveur IRC, il permet également à son propagateur de prendre le contrôle à distance de l'ordinateur infecté. Cela facilite la propagation de l'infection dans un réseau local et permet également de se servir de la machine pour envoyer des spams ou encore pour installer un logiciel espion de type keylogger, qui enregistrera toutes les données saisies au clavier, y compris mots de passe et numéro de cartes de crédit.
Plusieurs groupes de pirates
Si la faille touche plusieurs systèmes Windows (XP, 2000, Server 2003), les attaques semblent se concentrer sur les plates-formes Windows 2000 exclusivement. "Si vous utilisez n'importe quelle autre version de Windows que Windows 2000, vous ne risquez rien de Zotob et ses variantes", souligne Microsoft dans un article consacré à l'agent infectieux. Du coup, l'éditeur maintient à "faible" son niveau d'alerte. Si, de son côté, Symantec juge le risque "moyen", McAfee préfère monter le niveau à "élevé", tant pour les entreprises que les particuliers.
Et le mouvement pourrait s'emballer. L'éditeur Sophos rapporte que "plusieurs groupes de pirates déclenchent des déluges de vers à travers une bataille pour prendre le contrôle des ordinateurs". Ainsi, Zotob-F (également baptisé Bozori) désinfecte les ordinateurs victimes d'une version plus ancienne de Zotob pour les compromettre au seul profit de ses auteurs. Lesquels, selon Sophos, sont des organisations criminelles parfaitement organisées dont le but principal est "de faire de l'argent". Zotob, Tpbot, ExpPNP-A, Rbot-AKM, Sdbot-ACG... Sophos rapporte déjà une douzaine de variantes du ver qui exploitent la faille MS05-039. Pour s'en prémunir, le plus simple est évidemment d'appliquer le correctif de Microsoft, puis de s'assurer que son antivirus est bien à jour.
Par Christophe Lagane, VNUnet.fr
==============
Comme expliqué plus haut, zotob s'attaque aux PCs équipés de Windows 2000 et exploite une faille (déjà corrigée par MS) du système plug-and-play. Microsoft en parle : http://www.microsoft.com/security/incident/zotob.mspx
En tout cas, le marocain Farid Essebar, connu sur Internet sous le pseudo "Diabl0" a du souci à se faire. D'après CNN, c'est le FBI qui s'est occupé de l'affaire et a pu remonter jusqu'à la source, au Maroc :
"Their cyber laws are not as advanced as those in America but the individuals will be charged, and the FBI will provide as much evidence as needed to prosecute"
http://money.cnn.com/2005/08/26/technology/worm_arrest/
Inquiétudes autour de la propagation du ver Zotob
Deux jours seulement auront été nécessaires à ses auteurs pour que le ver Zotob exploite l'une des dernières failles découvertes de Windows. Cette réactivité explique peut-être sa vitesse de propagation. Les éditeurs de solutions antivirales rapportent "des centaines d'infections", essentiellement aux Etats-Unis mais aussi en Allemagne. Apparu le 11 août , Zotob et ses variantes (Zotob.A, B et C, Rbot, Tilebot-F...) aurait notamment créé des interruptions de service dans les rédactions de CNN, ABC, The Financial Times et The New York Times, rapporte l'éditeur Sophos. Autrement dit, les auteurs de la bestiole ont pris de vitesse les responsables informatiques qui ont tardé à mettre à jour leurs systèmes, alors que Microsoft propose un correctif depuis le 9 août dernier (voir édition du 10 août 2005). Pour mémoire, Sasser, l'un des vers les plus virulents de l'année 2004, était apparu 14 jours après la découverte de la faille qu'il exploitait.
Zotob et ses variantes s'appuient sur la défaillance du système plug-and-play référencée dans le bulletin MS05-039 de Microsoft. Une fois en place, le ver tente de désactiver les logiciels antivirus installés sur la machine infectée, particulièrement les services de mise à jour de ces applications. En se connectant à un serveur IRC, il permet également à son propagateur de prendre le contrôle à distance de l'ordinateur infecté. Cela facilite la propagation de l'infection dans un réseau local et permet également de se servir de la machine pour envoyer des spams ou encore pour installer un logiciel espion de type keylogger, qui enregistrera toutes les données saisies au clavier, y compris mots de passe et numéro de cartes de crédit.
Plusieurs groupes de pirates
Si la faille touche plusieurs systèmes Windows (XP, 2000, Server 2003), les attaques semblent se concentrer sur les plates-formes Windows 2000 exclusivement. "Si vous utilisez n'importe quelle autre version de Windows que Windows 2000, vous ne risquez rien de Zotob et ses variantes", souligne Microsoft dans un article consacré à l'agent infectieux. Du coup, l'éditeur maintient à "faible" son niveau d'alerte. Si, de son côté, Symantec juge le risque "moyen", McAfee préfère monter le niveau à "élevé", tant pour les entreprises que les particuliers.
Et le mouvement pourrait s'emballer. L'éditeur Sophos rapporte que "plusieurs groupes de pirates déclenchent des déluges de vers à travers une bataille pour prendre le contrôle des ordinateurs". Ainsi, Zotob-F (également baptisé Bozori) désinfecte les ordinateurs victimes d'une version plus ancienne de Zotob pour les compromettre au seul profit de ses auteurs. Lesquels, selon Sophos, sont des organisations criminelles parfaitement organisées dont le but principal est "de faire de l'argent". Zotob, Tpbot, ExpPNP-A, Rbot-AKM, Sdbot-ACG... Sophos rapporte déjà une douzaine de variantes du ver qui exploitent la faille MS05-039. Pour s'en prémunir, le plus simple est évidemment d'appliquer le correctif de Microsoft, puis de s'assurer que son antivirus est bien à jour.
Par Christophe Lagane, VNUnet.fr
==============
Comme expliqué plus haut, zotob s'attaque aux PCs équipés de Windows 2000 et exploite une faille (déjà corrigée par MS) du système plug-and-play. Microsoft en parle : http://www.microsoft.com/security/incident/zotob.mspx
En tout cas, le marocain Farid Essebar, connu sur Internet sous le pseudo "Diabl0" a du souci à se faire. D'après CNN, c'est le FBI qui s'est occupé de l'affaire et a pu remonter jusqu'à la source, au Maroc :
"Their cyber laws are not as advanced as those in America but the individuals will be charged, and the FBI will provide as much evidence as needed to prosecute"
http://money.cnn.com/2005/08/26/technology/worm_arrest/
Commentaire