L’éditeur Finlandais F-Secure annonce aujourd’hui la découverte d’une nouvelle souche du tristement célèbre MyDoom. Cette variante exploite la récente vulnérabilité « IFrame » qui touche le navigateur de Microsoft. Contrairement aux développeurs de Bofra, les auteurs de MyDoom.AG amène un sang nouveau aux techniques de propagation du ver. Par souci de furtivité et de discrétion aucune charge active (payload) n’est véhiculée par email, ce procédé permet potentiellement de contourner les moteurs antivirus basés sur des analyses heuristiques et placé sur des serveurs de messageries.
La victime potentielle, ciblée par le virus, reçoit un email exempt de toute pièce jointe. Seul un lien pointant vers la page piégée et hébergée sur la machine à l’initiative de la tentative de propagation est présent dans le corps du message. Ce lien prétend offrir la possibilité de télécharger des vidéos pornographiques. L’internaute peu méfiant qui naïvement suivra ce lien sera automatique contaminé. Sa machine deviendra alors elle-même une nouvelle source de propagation via le serveur Web embarqué par le ver.
L’approche originale réside dans mise a contribution de serveurs Web embarqués ce qui n’est pas sans rappeler les concepts du Peer To Peer. La perspective de voir ces techniques utilisées dans le développement de codes malicieux ouvre de nouveaux challenges aux éditeurs de solutions antivirus.
Flux Rss
Version PDF
Commenter 
Le ver « Bofra » n’est plus le seul à exploiter la dernière faille qui touche Internet Explorer. Une variante de MyDoom a rejoint la partie. La technique utilisée pour se propager est pour le moins intéressante puisque le ver ne communique aucun code malicieux par email. Il se contente d’envoyer l’adresse de son propre serveur web embarqué qui héberge la page piégée. 
