Imprimer

Format PDF

Envoyer à un ami

Newsletter

Rechercher

Le Maroc terre d’accueil et de générosité, mais aussi de pirates.L’auteur du ver Zotob qui a infecté les PC non patchés sous Windows 2000, affectant ainsi l’activité de nombre d’entreprises, notamment américaines a été arrêté à Rabat au Maroc.

Selon un communiqué de la Direction générale de la sûreté nationale, il s’agirait d’un jeune homme de 18 ans impliqué dans un réseau de fraude à la carte bancaire. Il aurait également des complices en Turquie.

 Le Virus :

Zotob.A est un virus qui se propage via le réseau. Si une machine connectée à Internet n’est pas à jour dans ses correctifs ni protégée par un pare-feu correctement configuré, Zotob.A tente de l’infecter via le port TCP 445 en utilisant la faille critique MS05-039 (Plug and Play Could Allow Remote Code Execution and Elevation of Privilege) de Windows : le virus provoque le téléchargement d’un fichier haha.exe sur le disque via FTP et le port TCP 8888, puis son exécution à distance sans aucune intervention de l’utilisateur.

Le virus se copie alors dans le répertoire Système sous le nom botzor.exe, modifie la base de registres pour s’exécuter à chaque démarrage, installe un serveur FTP, modifie le fichier Host de Windows pour empêcher la connexion aux sites de Microsoft et des principaux éditeurs d’antivirus, puis scanne le réseau à la recherche de nouvelles machines vulnérables à infecter. Zotob.A tente également de se connecter à un canal IRC pour attendre des ordres (notamment téléchargement de fichiers, suppression de fichiers sur le disque dur ou mise à jour du virus).

L’activité de ce virus devrait rester faible et ne connaîtra notamment jamais celle du virus Sasser. Plusieurs codes permettant l’exploitation de failles récentes ayant été publiés de façon irresponsable sur Internet, l’apparition de nouveaux virus ou de variantes est par contre plus que probable aussi la mise à jour des ordinateurs sous Windows est urgente pour les retardataires.

Source :MAP/Secuser.com