A long terme, Storm pourrait menacer les gouvernements

Le malware Storm, associée au réseau Storm Trojan, a fait sa première apparition fin 2006 début 2007. Il a pour principale particularité de se diffuser via des réseaux P2P comme eMule ou eDonkey, et il s’agit bien d’une caractéristique, car généralement les malwares permettant de se construire un réseau botnet (de PC zombies) utilisent plutôt le fameux outil IRC (Internet Relay Chat).

Depuis, la menace est en constante évolution et elle s’adapte pour devenir de plus en plus dangereuse. L’utilisation des logiciels de P2P permet une propagation du code plus rapide.

La dernière évolution repérée par David Sancho, directeur de la recherche pour Trend Micro« est la présence d’un rootkit dans le code malveillant. »

Pour lui, Storm a atteint un extraordinaire niveau de complexité. Au départ il s’est diffusé par via des e-cards, les fameuses cartes de vœux électroniques, une méthode que les cybercriminels à l’origine de Storm réutilisent à la moindre occasion. Selon Trend près de 10 millions de machines sont infectées. Ce qui fait que les cybercriminels ont dans leurs mains un supercalculateur plus puissant qu’un Blue Gene d’IBM.

À ce sujet, Sancho nous explique : « Pratiquement toutes les grandes attaques qui se sont déroulées en 2007 ont utilisé Storm. Avec un tel réseau, les cybercriminels pourraient faire d’énormes dégâts, par exemple en menant des attaques DOS contre des sites gouvernementaux. Heureusement pour nous, à l’heure actuelle ils sont surtout intéressés par l’argent, mais le risque est réel et à long terme il n’est pas impossible que les hackers attaquent les gouvernements. » Avec un peu d’imagination, cela permettrait à un groupe de terroristes de totalement déstabiliser une économie.

Aujourd’hui, Storm est surtout utilisé pour le spam. Des mails contenant directement l’exe permettant l’installation du code malveillant ou des liens vers des URL frauduleuses sont envoyés partout dans le monde, avec tout de même une préférence pour les USA et l’Europe.

Sancho indique que « les laboratoires des éditeurs ont été pris pour cible. »Il poursuit précisant : « nous avons été étonnés de voir les mécanismes d’auto défense dont dispose Storm ».

Concernant l’origine de Storm, Sancho évoque la piste russe, il explique que toutes les pistes mènent à la RBN, Russian Business Network, une société plutôt opaque anciennement située à St Petersbourg et qui s’est récemment délocalisée en Asie (ndlr : pour des raisons juridiques).

Enfin, pour Sancho il n’existe qu’un moyen pour se protéger, utiliser une solution de Web Reputation permettant d’analyser le code HTML d’une page Web avant la connexion de l’internaute. .. Pas évident !

Et Storm passe le costume de Roméo…

De son côté, Sophos alerte les utilisateurs d’une vaste campagne de courriels infectés qui se présente comme un message d’amour. En réalité elle vise à installer du code malveillant sur les PC de ses victimes en les redirigeant vers des sites Web dangereux.

Cette campagne représente actuellement 8% des messages en circulation (soit un courriel sur 12) interceptés par les SophosLabs. Le cheval de Troie en cause est une variante du déjà célèbre Dorf, également nommé Storm. Encore lui !

Les lignes d’objet de ces courriels sont nombreuses et variées, mais se présentent toutes comme un message romantique : « Falling In Love with You », « Special Romance », « You’re In My Thoughts », « Sent with Love », « Our Love Will Last », « Our Love is Strong », etc.

Le corps du message contient un lien vers un site Web, en réalité un des nombreux ordinateurs compromis faisant partie du réseau ‘zombie’ (ou botnet) Storm. La site affiche un large cœur rouge, tout en installant des programmes malveillants sur le PC du visiteur.

Michel Lanaspèze, Directeur Marketing et Communication de Sophos France et Europe du Sud indique : « Il semble qu’ils n’aient pas eu la patience d’attendre la Saint-Valentin pour tenter de piéger les imprudents en quête de romantisme. »