Le créateur du ver Zotob sous les verrous ?

L’auteur présumé du très virulent ver Zotob a été arrêté ce jeudi 25 août à Rabat par la police marocaine, a indiqué le lendemain la Direction générale de la sûreté nationale (DGSN) du Maroc, selon l’AFP. Il s’agirait d’un jeune homme marocain traqué par le FBI américain. L’arrestation a été effectuée par un groupe mixte de la Police judiciaire et des Renseignements généraux marocains suite à « une demande d’assistance » de la Police fédérale américaine. Le FBI avait retracé l’itinéraire du virus comme étant originaire d’un site informatique au Maroc, a-t-on précisé de même source. Le concepteur présumé du virus, dont l’identité n’a pas été révélée, est âgé de 18 ans. Il aurait agi  »

en connivence » avec des réseaux de fraude sur des cartes bancaires, selon les premières investigations de la police marocaine. Il reste à vérifier également s’il s’agit du créateur de la version originale de Zotob ou d’une de ses variantes. Attila Quelques heures plus tard, l’agence de presse turque Anatolie a indiqué que la police nationale a arrêté jeudi à Adana (sud de la Turquie) un jeune Turc, lui aussi recherché par le FBI et soupçonné d’avoir introduit un virus dans les systèmes informatiques de la firme américaine Microsoft, ainsi que dans des banques et des médias de 110 pays! Soit les mêmes victimes que Zotob. Ce jeune homme turque a été déféré ce vendredi 26 août devant un juge d’Ankara et écroué pour « fraude sur Internet », précise l’agence. Ce même individu est également accusé d’avoir pénétré à l’intérieur des systèmes informatiques de plusieurs banques et d’avoir effectué des virements à partir de comptes de clients. Il semble bien que le détournement d’argent ait été la motivation première des deux pirates. La police turque l’a arrêté au terme d’une traque d’un mois, sur demande du FBI, a ajouté Anatolie. Les autorités turques n’ont pas encore confirmé ou démenti ces informations. Zotob: peu de degâts mais beaucoup d’hystérie Zotob a fait son apparition en août en exploitant des brèches dans la sécurité des plates-formes Windows 95, 98, ME, NT, 2000 et XP. Il s’est vite propagé en ouvrant des ‘back doors’ sur de nombreux PC de médias et de banques américaines. Mais sans faire trop de dégâts. Il aura fallu moins d’une semaine pour que la faille révélée par Microsoft sur l’environnement Plug-and-Play de Windows soit exploitée par les ‘hackers’. Au ‘Patch Tuesday‘ de Microsoft, mardi 9 août, a succédé, dès mercredi 10 août, la publication – par un russe anonyme sous le pseudo ‘Houseofdabus‘ – du code d’exploitation de la faille sur les machines sous Windows 2000. Le ver Zotob.A est apparu le dimanche 14 août. Silicon.fr a publié l’information le 15 août (Alerte au ver Zotob.A). Pas d’exploit particulier hormis la rapidité de réaction, un inconnu a incorporé le code d’exploitation dans un ‘bot‘, un ver qui se répand automatiquement. Sven Jaschan avait fait de même avec Sasser ! Et IRCbot, record de vitesse de propagation! Le mercredi 17 août, une nouvelle menace commençait à faire parler d’elle: IRCbot, conçu sur le même modèle que Zotob. Celui-ci représente une menace plus grande encore que celle de son prédécesseur, puisque McAfee affirmait que IRCbot « bat tous les records de vitesse propagation« . Le 17 août, Trend Micro annonçait que six vers exploitant la même faille sur le Plug-and-Play de Windows 2000 étaient actifs : Zobot.C, Zobot.D, RBOT.CBQ, RBOT.CBR, SDBOT.BZH et DrugeBot.A. Depuis lors, une nouvelle vague de vers est venue menacer les systèmes Windows 2000, sans que l’on sache si la menace a l’envergure qu’on lui attribue, ou s’il s’agit plutôt du réveil des éditeurs et de la presse après les vacances… Une origine commune, une menace cumulée Point commun entre toutes ces attaques virales: elles exploitent la même faille sur Windows, révélée par l’éditeur lors de ses dernières mises à jour, l’alerte MS05-039 du 9 août qui révélait la vulnérabilité Plug-and-Play de Windows 2000. Les hackers se sont précipités sur la faille et ont lancé leurs vers. Facile, on leur a généreusement fourni le code ! Ce type de ver, autonome, se répand en scannant les machines via le port 445/TCP. Lorsqu’une victime est identifiée, ce ver utilise le code d’exploitation afin de télécharger le dossier principal du virus via FTP. Il met alors en place un serveur FTP sur la machine infectée et commence à scanner à partir de celle-ci afin de trouver d’autres victimes et se répandre. Les ‘hackers’ se sont, semble-t-il, donné le mot et le code de ‘Houseofdabus‘ s’est retrouvé dupliqué, soit directement dans des souches virales, Zotob, IRCbot, Bozori, soit sur des variantes de ces derniers, qui se multiplient et amplifient la menace, très concentrée sur les grandes organisations implantées aux Etats-Unis. Microsoft se dit satisfait

Microsoft a félicité les autorités marocaines et turques pour l’arrestation des deux personnes suspectées d’être les concepteurs du virus informatique Zotob. Dans un communiqué, le géant du logiciel salue l’initiative des autorités marocaines et turques ainsi que le FBI qui a conduit à l’arrestation de ces deux hommes plus que suspects.