MyDoom.A

Un article de Wikipédia, l'encyclopédie libre.
Aller à : navigation, rechercher

MyDoom.A ou Novarg.A est un virus informatique qui se propage par les courriels ou le service P2P de Kazaa. Les premières infections ont eu lieu le 26 janvier 2004.

Le virus est aussi appelé : Mimail.R ou Shimgapi. Il affecte le système d'exploitation Microsoft Windows.

Une fois l'ordinateur infecté, il s'envoie automatiquement à tout le carnet d'adresses sous de fausses identités, avec des objets aléatoires (Hi, Test, Mailer Daemon failure, etc.) et installe une backdoor dans le dossier système.

Ce ver ne scrute pas uniquement le carnet d'adresses, mais il effectue également un scan du disque dur à la recherche d'adresses de courriel. Il va également inventer des adresses vers un domaine (<adresse bidon>@mondomaine.com) et multiplier ainsi les infections lorsque l'on redirige par défaut toutes les <adresses bidon>@mondomaine.com vers une adresse unique.

Certains messages ont une date d'envoi figée au 11/12/2003. Le poids de ces messages est d'environ 22 ko. Le but principal de ce virus semble être de permettre le contrôle à distance d'un très grand nombre de machines, par exemple pour pouvoir envoyer de nombreux pourriels. Par ailleurs, le virus est programmé pour nuire au groupe SCO, éditeur de logiciels, jusqu'au 12 février, par une attaque de déni distribué de service.

« Si l'on regarde la quantité de courriels, Mydoom a dépassé Sobig.F et est devenu la plus importante attaque virale jamais connue », a indiqué à l'AFP Mikko Hyppoenen, responsable de la recherche antivirale de F-Secure.

Pour se protéger efficacement contre ces attaques, il convient d'installer un logiciel antivirus quotidiennement mis à jour et d'utiliser un listeur de courriels (qui affiche la liste des courriels en attente sur le serveur) afin de faire le tri entre le bon grain et l'ivraie.

Une version B, née le 28 janvier, s'attaquerait à Microsoft. La firme internationale offre 250 000 $ de récompense pour toute information menant à l'arrestation de l'auteur du virus. SCO (dont le site web est visé par les attaques de ce virus et éditeur de Caldera) a offert la même somme pour le même but.

Un avatar de ce virus, Doomjuice, dénommé MyDoom.C par certaines entreprises de sécurité informatique et Microsoft, apparu le 9 février, utilise les messageries informatiques infectées par les deux précédentes versions du virus pour se propager. Il semblerait que Doomjuice ait été conçu par les mêmes personnes que MyDoom. Il a également pour objectif de submerger le site de Microsoft de requêtes.

Une nouvelle version nommée MyDoom.F a été découverte le 23 février 2004.

Liens externes[modifier | modifier le code]