Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Un nouveau ver s’en prend aux serveurs Windows

auteur de l'article Jerome Saiz , dans la rubrique Menaces

Commentaires Commentaires fermés sur Un nouveau ver s’en prend aux serveurs Windows

Un nouveau parasite se propage actuellement sur Internet. Le ver s’en prend aux versions serveur de Windows par le biais d’une faille dans le service WINS, pourtant corrigée depuis le mois de décembre dernier. Son objectif est de créer une armée de serveurs zombies au service de ses auteurs.[Mis à jour le 10/01/04]


[Voir notre mise à jour en fin de brève]Depuis plusieurs jours déjà les grandes oreilles du web donnaient l’alerte : le port 42 des ordinateurs sous Windows était anormalement sollicité. Pour les services de veille tels l’Internet Storm Center ou le français K-Otik, il ne pouvait s’agir que de tentatives de pirates afin d’exploiter une faille découverte le mois dernier dans Windows, accessible justement par ce fameux port 42.Et bien ils avaient raison : un ver se propage actuellement sur Internet à la recherche de victimes à infecter. Malheureusement pour lui, ces dernières risquent d’être plutôt rares : il ne peut infecter que les ordinateurs fonctionnant avec une version serveur de Windows (NT, 2000 Server et Server 2003) et directement connectés au réseau, sans la protection d’un pare-feu ou un routeur.Le ver cible le service WINS (Windows Internet Naming Service) de ces machines afin d’y installer un cheval de Troie. Une fois sa victime infectée il entre alors en contact avec ses créateurs par l’intermédiaire d’un salon de discussion privé sur IRC, et il attend les ordres. S’il n’est pas désinfecté à temps, le serveur pourra servir à expédier des courriers publicitaires en masse ou attaquer -avec les autres victimes- tel ou tel site qui aurait refusé de payer une rançon exigée par les pirates.Mais rien ne présage d’une épidémie massive : la faille exploitée par ce ver n’est pas toute jeune et il ne cherche pas la facilité : les versions serveur de Windows sont largement moins répandues que les postes de travail… et surtout beaucoup moins susceptibles d’être connectées directement à Internet. Quant aux administrateurs qui se feront prendre malgré tout, la leçon sera probablement bien méritée !Mise à jour : Un lecteur des Nouvelles nous a signalé une analyse détaillée des programmes utilisés dans le cadre de cette attaque. Il apparaît que si du point de vue du traffic et des victimes le processus d’infection ressemble effectivement à un ver, il s’agirait en réalité d’un cheval de Troie activé manuellement par le pirate. C’est la suite de l’infection, automatisée elle, qui nous a induit en erreur, tout comme l’Internet Storm Center, la source de nos informations.


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.