Quâest-ce que le malware MyDoom ? Genèse, fonctionnement et mesures de protection
Quâest-ce que le malware MyDoom ? Genèse, fonctionnement et mesures de protection
Quâest-ce que le malware MyDoom ? Genèse, fonctionnement et mesures de protection
Certains le qualifient de virus. Dâautres le considèrent comme un ver. Certains lâorthographient « My Doom » ou lâappellent simplement le virus Doom.Â
Quelle que soit lâappellation ou lâorthographe, MyDoom est tout sauf inoffensif. Ce tout petit code se propage dâun ordinateur à un autre par lâintermédiaire des pièces jointes aux e-mails. Si vous recevez ces messages et ouvrez la pièce jointe, le programme sâinstalle et bientôt, chaque personne de votre carnet dâadresses reçoit un message émanant de votre ordinateur.Â
MyDoom a fait son apparition en 2004 et les attaques lancées à cette époque ont été neutralisées depuis longtemps. Mais beaucoup dâordinateurs sont encore infectés. Il est donc utile de connaître le mode opératoire de ce ver et de savoir comment lâéliminer de votre ordinateur.Â
Développement du virus MyDoom
En janvier et février 2004, des utilisateurs du monde entier ont commencé à recevoir des messages mystérieux (en anglais) qui disaient : « Je fais simplement mon travail, rien de personnel, désolé ». Chaque e-mail était accompagné dâune pièce jointe et chaque fois que les utilisateurs vérifiaient leur boîte de réception, ils recevaient une autre copie. Le coupable était le virus MyDoom.Â
MyDoom est un ver très efficace, conçu pour transformer des centaines de milliers d'ordinateurs en zombies. Les cybercriminels pouvaient ensuite utiliser chaque terminal piraté pour lancer une attaque par déni de service (DoS) contre une entreprise quâils avaient pris pour cible.Â
En 2004, personne ne savait qui avait développé le code. Pour certains, le ver MyDoom ressemblait beaucoup à dâautres vers développés dans les laboratoires russes. Mais une présomption nâest pas une preuve et, au bout du compte, personne nâa jamais su qui avait créé le code ni pourquoi.Â
Les experts sâaccordaient néanmoins sur le fait quâil était dangereux. Certains journalistes ont qualifié le code de :
- Rapide - Aucun autre virus ne sâétait propagé aussi rapidement.
- Efficace - MyDoom a infecté plus de 500 000 ordinateurs en une seule semaine.Â
- Coûteux - Les dommages ont été estimés à quelque 38,5 milliards, voire plus.Â
Le virus a pris le contrôle des ordinateurs hôtes et de nombreux signalements dâinfections expliquaient la procédure à suivre pour éliminer le code. Mais deux entreprises en particulier ont fait les frais de MyDoom.Â
La première version du ver a infecté des ordinateurs pour bombarder la société SCO Group de demandes de chargement de page dâaccueil. Incapable dâabsorber un tel volume de trafic, le site web de lâentreprise a été mis hors service. Après une heure dâattaque incessante, lâentreprise a tout simplement changé les adresses du site.
La seconde version du ver avait deux objectifs :
- L'attaque : les ordinateurs infectés ont bombardé le site web de Microsoft.
- La Protection : après lâinfection, les ordinateurs ne pouvaient plus accéder à 65 sites dâantivirus. En substance, le ver empêchait les utilisateurs de nettoyer leurs ordinateurs.
Avant le déploiement de MyDoom, les experts étaient conscients de la possibilité d'une telle attaque, mais nâavaient aucune idée de la forme quâelle prendrait, de son déroulement ni des mesures à prendre pour lâéradiquer. Ils ont eu tout loisir de le découvrir dans les mois qui ont suivi le déclenchement de lâattaque.
Comment fonctionne MyDoom ?
Le plus souvent, les utilisateurs ne se rendaient pas compte que leur ordinateur était infecté. Ils remarquaient tout au plus le ralentissement du système ou des interruptions de service intermittentes, mais ne recevaient probablement pas dâalerte ou dâavertissement signalant un problème de fonctionnement de leur ordinateur. Pendant ce temps le code, agissant silencieusement dans lâenvironnement Windows, permettait au ver de se propager.
Lâattaque MyDoom se déroule en quatre étapes :
- Téléchargement - Lâouverture de la pièce jointe permet au code de se déplacer dans lâenvironnement Windows. Aucun autre environnement nâa été touché.Â
- Propagation - Le code puise dans les contacts enregistrés sur lâordinateur de la victime. Chaque adresse trouvée reçoit une nouvelle version du ver en tant que pièce jointe à un message.Â
- Exécution - à une date fixée, les ordinateurs infectés envoient des demandes au site web de SCO Group ou à celui de Microsoft.Â
- Persistance - Les attaquants laissent une porte dérobée (backdoor) ouverte, dans lâéventualité de leur retour.Â
Les utilisateurs doivent savoir que, même si les hackers ont conçu le code pour attaquer un site web spécifique, le code nâexpire pas et ne se désinstalle pas. Votre ordinateur pourrait toujours être infecté à lâheure actuelle, et vous pourriez être en train dâutiliser une machine compromise par un message que vous ne vous souvenez même plus dâavoir ouvert.Â
Le virus MyDoom peut-il vous affecter ?
Nâimporte quel ordinateur infecté par MyDoom possède une porte dérobée dont, en théorie, les attaquants pourraient se resservir. Vous pourriez devenir soudainement partie prenante dâune attaque de zombies.
Plusieurs indices peuvent laisser penser que votre ordinateur participe à une attaque de ce genre :
- Lenteur - Lâouverture, la fermeture, lâenregistrement et toute manipulation de fichiers Windows peuvent prendre plus longtemps que prévu.Â
- Irritation - Si votre ordinateur commence à envoyer des messages aléatoires à chaque contact de votre carnet dâadresses, vous risquez de recevoir en retour des doléances.Â
- Alertes - Si vous êtes connecté à un réseau géré, votre administrateur peut se demander pourquoi vous avez besoin dâune telle bande passante pour faire votre travail.Â
Vous pourriez bien sûr ne jamais rien remarquer. Il est possible que votre ordinateur ne fasse jamais partie dâune nouvelle attaque contre une entreprise ou un pays. Mais la porte dérobée est toujours là , en attente dâêtre exploitée par les hackers. Elle restera un risque de sécurité à moins que vous ne décidiez dâagir.
Mesures de protection contre MyDoomÂ
Si vous pensez avoir été infecté par MyDoom, identifiez le problème, puis supprimez-le. Ensuite, optez pour une solution de prévention pour éviter dâêtre réinfecté.Â
Si vous pensez avoir été infecté :
- Supprimez le fichier - Certains articles de presse expliquent quâil est généralement stocké dans le répertoire %system%\drivers\etcwhere, %system% étant le fichier du système Windows : C:\windows\system32 pour Windows XP, C:\winnt\system32 pour NT/2000, C:\windows\system pour Windows 9x/Me.
- Mettez à jour Windows - Le ver ne peut infecter que les ordinateurs Windows et les programmeurs le savent. Si vous nâutilisez pas la dernière version de Windows, nâattendez plus pour faire la mise à niveau.Â
- Exécutez un logiciel antivirus - Téléchargez le dernier correctif afin que votre antivirus dispose des protections les plus récentes contre les menaces. Ensuite, nettoyez tout votre système.Â
- Vérifiez que tout fonctionne - Contactez les personnes de votre carnet dâadresses et demandez-leur sâils ont reçu des messages suspects de votre part. Ensuite, rendez-vous sur les sites web des principaux antivirus et voyez si vous pouvez charger la page.Â
- Répétez la procédure - Si votre ordinateur est toujours infecté, recommencez la procédure.Â
Les vers tels que MyDoom ont besoin de vous pour télécharger le virus. Vous avez donc la possibilité dâéviter le problème. Commencez par vérifier les adresses des expéditeurs. Si vous recevez des messages de personnes inconnues, ne les ouvrez jamais. Ne cliquez pas non plus sur les pièces jointes dâe-mails suspects.Â
Si vous faites partie de lâéquipe sécurité dâune grande entreprise, veillez à ce que tous les collaborateurs respectent ces consignes. Encouragez-les à signaler tout message ou événement suspect afin que vous puissiez les vérifier pour eux.
Protégez-vous avec OktaÂ
Okta propose des solutions de sécurité qui vous aident à réduire les risques et qui limitent lâaccès des utilisateurs aux ressources en fonction de leur rôle et de leurs besoins. Découvrez comment Okta peut aider les entreprises, des plus petites aux plus grandes.
Références
Who Made MyDoom? Février 2004. New Scientist.Â
More Doom? Février 2004. Newsweek.Â
MyDoom Shows Vulnerability of the Web. Février 2004. Network Computing.Â
Update: New Mydoom Worm Discovered. Janvier 2004. Computerworld.
Worm:W32/MyDoom. F-Secure.Â
MyDoom: The 15-Year-Old Malware Thatâs Still Being Used in Phishing Attacks in 2019. Juillet 2019. ZD Net.
How to Thwart Renewed "MyDoom" Email Bug. Janvier 2006. ABC News.