Les sites portails d’eDonkey, d’eMule et deux sites hébergeant des outils de « cracking » ont succombé le 8 avril, premier jour de l’attaque programmée de Netsky.Q. Seul Kazza.com, autre cible du virus, résiste encore.
Une variante du virus Netsky a réussi à bloquer quatre des cinq sites web qu’elle visait en déclenchant des attaques par « déni de service distribué ». Apparu le 29 mars dernier, Netsky.Q est programmé pour déclencher ce type d’offensive, dont le principe est de saturer les serveurs web en leur envoyant un grand nombre de requêtes depuis la multitude d’ordinateurs infectés. Lesquels, répétant leurs flots de requêtes, provoquent donc un déni de service en cascade (« distributed denial of service » ou DDOS).
Selon l’éditeur Trend Micro, Netsky.Q a infecté depuis sa découverte 70.000 machines environ, dont la majorité au Japon et environ 2.000 en France.
L’attaque, planifiée pour la période du 8 au 11 avril, ciblait les portails des principaux programmes d’échange de fichiers (kazaa.com, edonkey2000.com et emule-project.net), ainsi que deux sites qui hébergent des programmes servant à « craquer » les protections de logiciels commerciaux (cracks.st, crasks.am).
Résultat pour ce premier jour d’attaque: eDonkey a dû changer d’adresse (désormais edonkey2000.com); même chose pour eMule, qui renvoie vers un site miroir de son portail (emule-project.org). Quant aux sites « cracks », ils étaient inaccessibles jeudi en fin d’après-midi. Au final, Kazaa semble la seule cible de Nestky.Q a avoir survécu à son attaque.
Rappelons que Netsky.Q arrive sur le système sous la forme d’un message électronique avec le virus dissimulé dans la pièce jointe. Pour le contaminer, il exploite une vieille faille d’Internet Explorer (5.01 et 5.5) découverte et corrigée depuis 2001. Cette faille permet l’exécution automatique d’une pièce jointe d’un e-mail en lisant simplement celui-ci ou en le prévisualisant. Il n’est donc pas nécessaire de cliquer sur le fichier attaché pour que le virus s’active.
Une fois la machine infectée, ce virus se renvoie vers des adresses trouvées sur le système via son propre moteur SMTP. Pour s’en prémunir, il faut, outre l’installation des patchs de Microsoft, mettre à jour la base de signatures de son programme antivirus et scanner son ordinateur.
Source ZD NEt France