Vous êtes sur le site public du Cert-IST
Le Cert-IST met en garde contre les mutations multiples des dernières attaques virales

Date :22 Juin 2005

Publication: Article

Dans le Bulletin sécurité n°76 (Janvier 2004), le Cert-IST avait rendu compte de l'évolution des modes de propagation des Virus ("Les vers et leurs véritables origines" Depuis, le Cert-IST a relevé l'exploitation par les derniers virus, tels que "Bagle Q" et "Netsky P", des failles de sécurité.

Les dangereuses mutations des derniers Virus

Aujourd'hui, les dernières variantes des vers Bagle (Q) et Netsky (P), parce qu'elles utilisent une faille de sécurité et ne nécessitent même plus d'action de l'utilisateur final, mettent en lumière les liens aggravants entre gestion des vulnérabilités et propagation des virus.

Depuis Mydoom, les membres du Cert-IST ont détecte de façon régulière les variantes des vers "Bagle" et "Netsky". Ces variantes présentaient jusqu'ici des caractéristiques techniques en perpétuelle évolution, mais toujours basées sur la technique dite "d'ingénierie sociale" (le virus utilise un message qui par son titre, le contexte, ou la source émettrice, incite l'utilisateur à collaborer et ouvrir volontairement la pièce jointe).

Un pas supplémentaire avait été franchi en mars, lorsque la pièce jointe a commencé à être cryptée, le mot de passe étant fourni dans le texte du message, puis en image jointe, techniques qui mettaient en difficulté les filtres anti-virus des passerelles de messagerie.

Un dernier pas a été franchi fin mars, avec les variantes "Bagle Q" et "Netsky P", qui cette fois-ci ne nécessitent plus d'action volontaire de l'utilisateur, mais exploitent des vulnérabilités répertoriées (*) des logiciels web Microsoft les plus répandus Outlook et Internet Explorer.

Tableau : principales phases de la mutation du ver "Bagle"

(*) Ce type de comportement avait été rencontré par exemple avec les vers Nimda, Swen, Bugbear, et également le "célèbre" ver "Blaster" qui exploitait une vulnérabilité Windows.

L'exploitation des failles de sécurité

Le Cert-IST surveille simultanément les vulnérabilités identifiées dans les produits du marché, (IE, Outlook, Windows, Linux, produits réseaux, produits sécurité, en tout une liste de 400 produits), et la propagation des Virus.

L'actualité récente montre que cette stratégie est complémentaire de celle des éditeurs d'anti-virus, car permettant d'anticiper sur la potentielle exploitation automatique par un virus d'une vulnérabilité répertoriée :

Rappel des vulnérabilités et avis cités

 

Bagle A
18/01/2004

Bagle B
17/02/2004

Bagle C,D,E
28/02/2004

Bagle F,G
29/02/2004

Bagle H,I
01/03/2004

Bagle J
02/03/2004

Bagle M,N,O,P
13/03/2004

Bagle Q
18/03/2004

Titre

"Hi"

Id […]thanks

aleatoire: (pricelist,account, melissa)

"feminin": mew-mew,katrina

"Hi, mew-mew"

** e-mail **

** e-mail **, Re:msg reply

** e-mail **, Re:msg reply

Corps

** test **

 

 

aleatoire: I love,hobbies

hey dude, I don't bite

** e-mail account **

** e-mail account, antivirus, spam **

HTML

Pièce jointe

dxju....exe

qlli.exe

acdab.zip

.exe,.scr,.zip, katrina, mygallery

.zip encrypted, msg,info, document

.exe, .pif, encrypted .zip, attach, info

.exe, .pif, .rar, encrypted .zip, .bmp, .gif, .jpg

NON

 

 

 

 

 

password in text

password in text

password in BITMAP

 

et apparence

calculatrice

fichier son

feuille excel

dossier windows

dossier windows

notepad

police truetype

html

 

 

 

 

 

 

 

 

 

Ingénierie Sociale

 

 

 

 

 

 

 

 

Adresse émetteur

 

falsifiée

falsifiée

 

falsifiée

mail provider

mail provider, support, ou correspondant

mail provider, support, ou correspondant

Diversion

 

magneto snrec.exe

notepad windows

 

 

 

 

 

Dangerosité

pour simplets

 

pour simplets

 

pour simplets

 

 

Automatique, exploite vulnérabilité Microsoft

Porte dérobée ouverte

TCP 6777

TCP8866

TCP2745

TCP2745

TCP2745

TCP2745

TCP2556

TCP2556

Action sur le système

non

non

OUI

OUI

OUI

OUI

oui

oui

Action sur les antivirus

non

 

OUI

OUI

OUI

OUI

oui ++

oui ++

Mode de propagation

mail

mail

mail

mail + SHARE

mail + share

mail + share

mail + share

mail + share + auto

Date

Avis

 

Objet

04/04/2001

CERT-IST/AV-2001.092

V1.0

Vulnérabilité dans la gestion des e-mails au format HTML dans Outlook et Outlook Express (via Internet Explorer)

17/07/2003

CERT-IST/AV-2003.227

V1.0

Vulnérabilité dans la gestion des messages RPC sous Microsoft Windows

12/08/2003

CERT-IST/AV-2003.257

V1.0

Ver "Blaster", exploitant la vulnérabilité Microsoft RPC (CERT-IST/AV-2003.227)

21/08/2003

CERT-IST/AV-2003.267

V1.0

Multiples vulnérabilités dans le navigateur web Microsoft Internet Explorer versions 5.01, 5.5 et 6.0

19/01/2004

CERT-IST/AV-2004.015

V1.0

Ver "Bagle" (n‘exploite pas de vulnérabilité)

27/01/2004

CERT-IST/AV-2004.024

V1.0

Ver "Mydoom" (n‘exploite pas de vulnérabilité)

20/02/2004

CERT-IST/AV-2004.054

V1.0

Ver "Netsky" (n‘exploite pas de vulnérabilité)

18/03/2004

CERT-IST/AV-2004.015

V2.0

Ver "Bagle" variante Q, exploitant la vulnérabilité Microsoft Internet Explorer (CERT-IST/AV-2003.267)

18/03/2004

CERT-IST/AV-2004.093

V1.0

Vulnérabilité dans la gestion du protocole "ICQ" par les produits ISS "RealSecure", "Proventia" et "BlackICE"

22/03/2004

CERT-IST/AV-2004.093

V2.0

Ver "Witty", exploitant la vulnérabilité ICQ (CERT-IST/AV2004-093)

23/03/2004

CERT-IST/AV-2004.054

V3.0

Ver "Netsky" variante P, exploitant la vulnérabilité CERT-IST/AV-2001.092

* Ainsi, dans les processus du Cert-IST, certains Virus " secondaires " comme "Witty" ne doivent être suivis que comme une exploitation répertoriée d'une faille déjà suivie par ailleurs.

Bien que les correctifs de sécurité aient été publiés par l'éditeur, de nombreuses configurations peuvent ne pas avoir été mises à jour, et sont donc vulnérables, c'est-à-dire que la simple réception d'un message porteur du ver, sans ouverture consciente de pièce jointe, provoque l'infection du poste vulnérable.

Les efforts de veille et de prévention réalisés depuis l'été dernier par de nombreuses entreprises, ainsi que la réactivité des éditeurs d'antivirus, sont contrés en temps réel par les auteurs des virus "Bagle" et "Netsky", et laissent peser une menace permanente sur l‘activité des entreprises.

Le Cert-IST recommande de continuer à mettre à jour en temps réel les solutions de sécurité, de continuer la diffusion des préconisations de sécurité auprès des utilisateurs, mais également de s'assurer qu'elles sont à jour dans le déploiement de leurs correctifs de sécurité systèmes et logiciels.

Pour plus d'information :

Cette analyse et ces recommandations pressantes , en particulier pour la mise à jour des correctifs, ont été relayées dans la presse par Mag Securs et ZDNet.

http://www.mag-securs.com/article.php3?id_article=681

http://www.zdnet.fr/actualites/technologie/imprimer.htm?AT=39147325-39020809t-39000761c