Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Opasoft : l’infection automatique pour Windows

auteur de l'article Jerome Saiz , dans la rubrique Menaces

Commentaires Commentaires fermés sur Opasoft : l’infection automatique pour Windows

Opasoft recherche des PC sous Windows dont le partage de fichiers est activé, et tente de s’y connecter. Il évite comme cela d’arriver par email et d’attendre que l’utilisateur clique dessus. On n’est jamais mieux servi que par soi-même…


Contrairement à la majorité des vers pour Windows, Opasoft n’arrive pas par l’email, mais par le réseau. Le ver est programmé pour rechercher des PC sous Windows (95, 98 et ME) et « frapper » à leur porte. Cette porte virtuelle, c’est Netbios, le service de partage de fichiers de Windows. Si vous partagez le disque de vos machines, vous utilisez Netbios, et vous êtes sans doute vulnérable.Netbios n’est pas une faille de sécurité, mais plutôt un service très peu sécurisé, et jamais destiné à être directement accessible depuis Internet. Or, sur les PC sous Windows, Netbios est accessible par les ports 137 et 139, et cela même lorsqu’ils sont connectés à Internet. L’attaque est alors très simple, et connue depuis longtemps : si le PC partage un disque ou un répertoire via Netbios, ce dernier peut-être « monté » à distance par n’importe qui. Il est ainsi possible au premier curieux venu de disposer sur son propre PC, à l’autre bout du monde, d’une icône disque sur son bureau, qui donne directement sur votre machine !Opasoft exploite automatiquement cette attaque dès qu’il découvre un PC sous Windows dont le port 137 est accessible. Il tente alors de s’y connecter via le port 139, et de s’y installer. Si l’accès est protégé par un mot de passe, comme cela est possible avec Netbios (mais pas activé par défaut), il essaie tous les caractères du code ASCII.Une fois installé, il prend le contrôle de la machine, et se connecte à chaque démarrage à un site web, afin de se mettre à jour et récupérer de nouvelles instructions. Le site, www.opasoft.com, n’est cependant plus accessible aujourd’hui.Bien qu’original pour Windows, Opasoft ne fait en réalité qu’exploiter une attaque connue depuis plusieurs années, et se propage selon la méthode « classique » des vers sous Unix, qui recherchent et exploitent une faille du système plutôt que d’attendre que l’utilisateur ne les exécute. C’est ainsi que fonctionnait le premier ver médiatisé, le ver de Morris, dans les années 1980.


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.