Virus MyDoom: la 3è variante, DoomJuice, sévit, sans e-mails

La Rédaction,

MyDoom.C, nouvelle alerte, nouvelle variante. Elle se propage sur les PC via la « back door » ouverte par MyDoom.A. Et vise toujours Microsoft

MyDoom.C, aussi appelé

SyncZ ou DoomJuice, est à l’image de son grand frère version B : il en veut à Microsoft ! Cette variante du ver, qui a battu les records en début d’année, cherche à se déployer sur des ordinateurs non protégés et infectés par MyDoom.A afin de lancer des attaques jusqu’au ‘déni de service’ contre le site Web de Microsoft. Le site de l’éditeur semble actuellement résister à l’attaque mais une discontinuité du service a été détectée dans la journée du 09 février selon F-Secure. Contrairement à Mydoom, ce nouveau ver /virus ne se propage pas par courrier électronique, ni en utilisant les réseaux ‘peer-to-peer’ de connexions directes entre ordinateurs: « Il scanne des adresses internet au hasard et infecte les machines contaminées par Mydoom à travers la porte dérobée installée par la première version du vers », a ainsi indiqué l’éditeur. Lorsque la connexion est établie, DoomJuice ordonne à la machine infectée par Mydoom d’exécuter son code localement, réinfectant de ce fait la machine en mode distant, précise de son côté Panda Software. Objectif: couvrir les traces Il se copie dans le répertoire Windows System sous le nom ‘intrenat.exe’, avant de se dupliquer dans plusieurs autres répertoires de Windows. La menace est théoriquement faible, puisque MyDoom.C présente les mêmes caractéristiques que celles de la variante B prédédente. Cependant, il suffit que le ver se répande sur de nouveaux « pigeons » en ligne pour que le risque soit avéré: le site Microsoft.com pourrait encore subir des attaques en rafales jusqu’à saturation des accès. Mais il semble que le numéro un mondial du logiciel ait déjà la parade. Conçu pour empêcher de remonter la filière Par ailleurs, cette troisième variante semble surtout destinée à permettre aux auteurs de Mydoom, actuellement très recherchés, de couvrir leurs traces: avant l’apparition de Doomjuice, seuls les auteurs de Mydoom.A étaient en possession du code source du virus, ce qui constitue la meilleure preuve de leur culpabilité aux yeux de la police. « Aujourd’hui plusieurs milliers d’utilisateurs infectés à travers le monde disposent de ce code source archivé dans leur machine, sans le savoir », a expliqué Alexandre Durante, dg de F-Secure France.