Depuis quelques semaines, les serveurs Web Microsoft IIS (Internet Information Server) en voient de toutes les couleurs. Après Code Rouge, un ver qui infectait IIS avant de lancer des attaques par déni de service, des chercheurs chinois signalent l’apparition d’un nouvel avatar, baptisé Code Bleu. Taquin, Code Bleu n’aime pas son homonyme en pourpre : dès qu’il a infecté un serveur, il se débarrasse de Code Rouge pour devenir seul maître à bord du serveur victime.Comme son illustre prédécesseur, Code Bleu, n’infecte que les serveurs Web fonctionnant avec Microsoft IIS versions 4.0 et 5.0. Il utilise une faille de sécurité découverte en octobre 2000 et baptisée Web Server Folder Traversal, selon un descriptif publié par l’éditeur russe d’antivirus Kapersky Labs. Un patch de sécurité est disponible sur le site de Microsoft pour combler cette faille.
Code Bleu sait être discret
Dans un premier temps, le ver Code Bleu installe deux fichiers ?” svchost.exe et httpext.dll ?” dans le répertoire système de la machine infectée. Ces deux fichiers sont écrits en Visual C++ et ont pour taille respective environ 29 Ko et 47 Ko. Pour plus de discrétion, ils portent des noms de fichiers standards utilisés par Windows 2000 dans le sous-répertoire SYSTEM32.Le ver modifie également la base de registre de façon que le programme infectieux s’active à chaque redémarrage du système :HKLMSoftwareMicrosoftWindowsCurrentVersionRun
Domain Manager = C:svchost.exe
Un script qui annihile Code Rouge
Une fois lancé, le programme svchost.exe crée un script Visual Basic, baptisé d.vbs et stocké dans le répertoire système. Ce script est chargé de vérifier que le serveur attaqué est déjà infecté par le ver Code Rouge. Le cas échéant, il désactive ce dernier.Le script d.vbs ferme ainsi l’application inetinfo.exe, qui se charge de l’accès aux ressources du serveur Web, et empêche le fonctionnement de Code Rouge. De plus, il ferme les failles de sécurité exploitées par Code Rouge pour infecter les serveurs Web Microsoft IIS.Une fois qu’il a fait le ménage, Code Bleu utilise la même méthode que Code Rouge pour se propager de serveur en serveur. Il lance 100 processus différents chargés de scanner les adresses IP des serveurs appartenant au même réseau que la machine victime et à des réseaux différents. Ainsi, il détecte de nouveaux serveurs Microsoft IIS, non protégés, à infecter. Une fois trouvée sa prochaine victime, il active une session TFTP temporaire pour lui transmettre les fichiers infectieux.
Déni de service contre une société chinoise
Enfin, contrairement à Code Rouge qui s’en prenait au site Web de la Maison Blanche, Code Bleu ne s’embarrasse pas de symboles politiques : il est programmé pour lancer une attaque par déni de service contre le site Web de la société de sécurité chinoise www.nsfocus.com.Pour l’anecdote, les chercheurs américains qui ont détecté Code Rouge l’avaient baptisé ainsi pensant qu’il s’agissait peut-être d’une création de leurs amis communistes chinois. Réponse du berger à la bergère : les chercheurs chinois auraient-ils baptisé Code Bleu en songeant à une attaque provenant de leurs collègues impérialistes républicains ?Plus prosaïquement, il est navrant de constater l’impuissance d’un éditeur de logiciels ?” Microsoft ?” et des sociétés dantivirus, condamnés à voir passer les missiles TCP/IP sur les serveurs Web de leurs clients.En attendant, les administrateurs réseaux sont invités à télécharger régulièrement les patch de sécurité IIS pour éviter de voir ces batailles virales se dérouler sur le dos de leurs serveurs. Pathétique, non ?
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.