Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Vos mots de passe sont simples ? Deloder va vous aimer

auteur de l'article Jerome Saiz , dans la rubrique Menaces

Commentaires Commentaires fermés sur Vos mots de passe sont simples ? Deloder va vous aimer

Le virus Deloder aime les mots de passe simples ! Avec son petit dictionnaire de mots de passe stupides, il écume le web à la recherche de cibles faciles. Il a déjà infecté de très nombreux internautes, entreprises et universités dont les sésames des disques partagés allaient de l’habituel « admin » à l’indémodable « 12345 ».


Deloder est un virus plutôt pragmatique : depuis des années, l’un des moyens les plus simples pour pénétrer un ordinateur sous Windows est d’aller frapper à la porte de ses disques partagés éventuels. C’est donc ce qu’il fait très naturellement en venant tester le port 445 (accès aux fichiers partagés) des PC sous Windows 2000 et XP.

La nouveauté est que Deloder ne se contente pas de chercher des accès non protégés. Il apporte avec lui un dictionnaire d’environ 50 mots de passe universellement connus. Tout y passe, des habituels « admin » et « password » aux très courants « abc », « pass », « 12345 », « administrator » ou encore les incroyablement originaux « temp », « test » et « sex ».

Et le pire, c’est que ca marche ! Deloder fait parler de lui et infecte aussi bien des internautes particuliers que des universités ou des entreprises (dont on se demande alors où était leur firewall…)

Une fois dans la place, Deloder s’installe à demeure (via le fichier (Dvldr32.exe) puis neutralise l’accès aux disques partagés. Il installe ensuite un outil de prise de contrôle à distance (VNC) et un robot IRC, qu’il connecte à un salon de discussion.

Ces deux dernières caractéristiques indiquent clairement que Deloder a été conçu dans l’optique de constituer un réseau de serveurs « zombies », prêt à être utilisé pour des règlements de comptes sur IRC ou des attaques par déni de service.

Pour s’en protéger, il suffit d’interdire le trafic SMB sur TCP/IP (port 445) grâce à son firewall. Il n’y a en effet guère de raisons d’ouvrir ses disques partagés directement sur Internet.

Tous les antivirus majeurs détectent aujourd’hui Deloder, et son éradication ne pose pas de problème particulier, une fois les fichiers infectieux détruits et sa clé dans la base de registre supprimée.


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.