Alerte à propos d’une variante du ver ‘spybot’

Une nouvelle variante d’un programme ‘bot’ malveillant se propage par l’intermédiaire d’une faille dans l’antivirus de Symantec et de même via plusieurs failles dans le code de Microsoft.

Ce programme dénommé ‘Spybot.ACYR‘ par Symantec et ‘Sdbot.worm!811a7027‘ par McAfee, semble cibler tout particulièrement les institutions en rapport avec l’éducation.

L’éditeur de sécurité qui a publié une note sur son site à ce sujet, précise : « Nous remarquons un pic du trafic par le port 2967, mais pour l’instant l’impact de ces attaques est minime ».

Cette variante de ‘spybot’ essaie de pénétrer dans les ordinateurs via une faille découverte il y a six mois dans le client de sécurité de Symantec et l’antivirus. Un correctif est disponible depuis le 25 mai.

Symantec explique: « Les clients qui ont correctement appliqué cette mise à jour dans leur environnement ne peuvent pas être touchés par ce ver ».

En plus de chercher à utiliser cette vulnérabilité dans les produits Symantec, ce ver essaie également de s’introduire dans Windows par l’intermédiaire de cinq failles.

La plus récente de ces failles a été corrigée au mois d’août et concerne le partage des fichiers et des imprimantes. La plus ancienne de ces cinq failles date de 2004. De nombreux utilisateurs sont donc protégés.

Une fois installé sur l’ordinateur, Spybot.ACYR ouvre une porte dérobée sur le système et se connecte via un server du programme IRC (Internet Relay Chat) ce qui permet à un attaquant de prendre le contrôle du poste contaminé. Ce spybot a fait sa première apparition en 2003.

Les logiciels du type spybot sont une menace très sérieuse pour les PC Windows vulnérables. Preuve en est, près de 43,000 nouvelles variantes de spybot ont été découvertes durant la première moitié de 2006, ce qui montre l’intérêt croissant des garnements du 3W pour ce type de ver.