Deloder est un virus plutôt pragmatique : depuis des années, l’un des moyens les plus simples pour pénétrer un ordinateur sous Windows est d’aller frapper à la porte de ses disques partagés éventuels. C’est donc ce qu’il fait très naturellement en venant tester le port 445 (accès aux fichiers partagés) des PC sous Windows 2000 et XP.

La nouveauté est que Deloder ne se contente pas de chercher des accès non protégés. Il apporte avec lui un dictionnaire d’environ 50 mots de passe universellement connus. Tout y passe, des habituels « admin » et « password » aux très courants « abc », « pass », « 12345 », « administrator » ou encore les incroyablement originaux « temp », « test » et « sex ».

Et le pire, c’est que ca marche ! Deloder fait parler de lui et infecte aussi bien des internautes particuliers que des universités ou des entreprises (dont on se demande alors où était leur firewall…)

Une fois dans la place, Deloder s’installe à demeure (via le fichier (Dvldr32.exe) puis neutralise l’accès aux disques partagés. Il installe ensuite un outil de prise de contrôle à distance (VNC) et un robot IRC, qu’il connecte à un salon de discussion.

Ces deux dernières caractéristiques indiquent clairement que Deloder a été conçu dans l’optique de constituer un réseau de serveurs « zombies », prêt à être utilisé pour des règlements de comptes sur IRC ou des attaques par déni de service.

Pour s’en protéger, il suffit d’interdire le trafic SMB sur TCP/IP (port 445) grâce à son firewall. Il n’y a en effet guère de raisons d’ouvrir ses disques partagés directement sur Internet.

Tous les antivirus majeurs détectent aujourd’hui Deloder, et son éradication ne pose pas de problème particulier, une fois les fichiers infectieux détruits et sa clé dans la base de registre supprimée.