La chronologie d'un mois fertile en vers (Code Red et Sircam)

Date :11 Juillet 2005

Publication: Article

Au mois de juillet, le Cert-IST a émis 2 alertes (CERT-IST/AL-2001.004 et CERT-IST/AL-2001.005) pour les vers Code Red et Sircam, et une information (CERT-IST/IF-2001.006) sur la propagation du ver Leave. La première alerte a fait l'objet de 3 révisions, ce qui signifie que vous avez reçu 5 messages spécifiques (4 alertes et une information) ce mois-ci. Comme depuis le début de l'année, nous n'avions émis que 3 alertes et 5 informations, nous vous proposons de revenir sur les 15 derniers jours de juillet et d'en tirer quelques leçons.

Le tableau suivant rappelle, par ordre chronologique, les alertes, avis ou informations émises par le Cert-IST pour ces trois événements (Leave, CodeRed et SirCam).

Les réactions du Cert-IST

Date

Référence
Cert-IST

Titre de l'avis/alerte/information

19/06/2001

/AV-2001.164

Débordement de pile dans le service "Index Server" sous IIS (création de l'avis)

27/06/2001

/AV-2001.164

Ver Leave sous Windows (création de l'avis)

11/07/2001

/AV-2001.164

Ver Leave sous Windows (révision de l'avis)

18/07/2001

/IF-2001.006

Nouvelle distribution du ver Leave

18/07/2001

/AL-2001.004

Propagation du ver IIS "Code Red"

18/07/2001

/AV-2001.164

Débordement de pile dans le service "Index Server" sous IIS (révision de l'avis)

19/07/2001

/AV-2001.186

Ver SirCam sous Windows (création de l'avis

20/07/2001

/AL-2001.004a

Propagation du ver IIS "Code Red" (Version 2))

24/07/2001

/AL-2001.005

Propagation du ver IIS "SirCam" à grande échelle

24/07/2001

/AV-2001.186

Ver SirCam sous Windows (mise à jour 1.1)

25/07/2001

/AL-2001.005

Propagation du ver IIS "SirCam" à grande échelle (Mise à jour)

27/07/2001

/AL-2001.004b

Propagation du ver IIS "Code Red" (Version 3)

30/07/2001

/AL-2001.004c

"Code Red" ; Message commun des 3 CERT français (Version 3.1)

En considérant la date de publication des 3 avis pour (Code red, Leave et Sircam), on s'aperçoit que les avis mentionnant les failles de sécurité pour ces 3 vers ont été publiés respectivement 30 jours, 21 jours et 6 jours avant leur "diffusion massive" qui a donné lieu aux alertes et informations appropriées.

On notera que dans les cas de Leave et de Sircam, la parade consistait à mettre à jour son anti-virus, alors que dans le cas de Code Red, il fallait appliquer un correctif de sécurité sur IIS.

 

Quelques réactions des éditeurs

Code Red : Le 18 juin 2001, Microsoft émettait un bulletin de sécurité Microsoft MS01-033

Sircam : Les éditeurs d'antivirus ont réagi dans les délais "habituels", ce qui a permis au virus de commencer à se propager, y compris dans la communauté du Cert-IST. On notera que:

    • la première version d'Interscan laissait, dans certains cas, "passer" le virus (elle a été corrigée les 26 et 27 juillet)

    • la première version de NAI n'interceptait pas des versions corrompues du virus. Un fichier de signatures supplémentaires a été mis à disposition du Cert-IST qui a pu le mettre sur son serveur Web le 25 juillet

 

Les réactions dans la communauté du Cert-IST

Le Cert-IST a sollicité ses partenaires et clients pour essayer d'apprécier la réalité des dégâts, en particulier pour Code Red et Sircam. Même si la liste des "correspondants Virus du Cert-IST" commence à fonctionner, nous avons eu peu d'informations en retour ; un seul retour pour Code Red et 2 pour Sircam, alors que nous avons trouvé la signature de l'attaque Code Red dans les journaux de notre serveur, et avons remarqué une augmentation des scans sur le port 80, au niveau du Cert-IST.

Nous avons contacté les membres de la communauté IST dont les machines (pour la plupart hébergées par des fournisseurs d'accès) apparaissaient dans les listes de serveurs infectés par Code Red, et avons eu un certain nombre de retours de leur part.

Conclusions

La coordination entre les CERT a progressé lors du mois de juillet. Il nous reste encore à faire des progrès, en particulier en matière de remontée d'incidents au niveau de la communauté IST. En effet les chiffres qui ont été publiés (près de 300000 serveurs infectés lors de la première vague, 4% dans le domaine .fr) n'ont pas pu être vérifiés par manque d'information.

Lorsque nous disposerons d'une réelle remontée d'incidents, l'ensemble de la communauté, à commencer par les partenaires et clients du Cert-IST, pourra bénéficier d'une meilleure qualification de la réalité de la menace, et, en conséquence, prendre les mesures de précautions adaptées à cette réalité.