Petit résumé, court et bien fait - ce qui devrait toujours être le cas d'un résumé - sur MyDoom/Novarg trouvé dans IBCOM. A vrai dire, l'intérêt principal est la méthode de détection citée, si on a pas d'antivirus.
En installant une porte dérobée sur les machines contaminées, MyDoom rend posssible leur contrôle à distance. Apparu seulement quelques jours avant la fin du mois de janvier, le virus à la double appellation: MyDoom/Novarg s'être avéré être extrêment virulent puisqu'en quelques jours il s'est très rapidement classé en tête des virus les plus répandus.
La variante B de MyDoom/Novarg, apparue plus tardivement, ne diffère que légèrement de la première version (A).
Comportement
MyDoom est un virus de type "ver" qui se propage via le mail en utilisant le carnet d'adresses des machines infectées. Le sujet du mail contaminé peut prendre les valeurs: "Error, Status, Server Report, Mail Transaction Failed, Mail Delivery System, hello ou hi".
Comme c'est souvent le cas, MyDoom est dissimulé dans la pièce jointe qui accompagne le message. Son nom, tout comme son extension, peuvent varier (.zip, .bat, .exe, .pif, .cmd, .scr), cependant son poids reste fixe: 22528 octets.
En plus de ce mode de propagation assez "classique", MyDoom utilise également le réseau d'échange "peer-to-peer" Kazaa. Il se copie dans le répertoire de partage de fichiers de Kazaa et prend alors les noms de fichiers suivants: nuke2004, office_crack, rootkitXP, strip-girl-2.0bdcom_patches, activation_crack, icq2004-final ou winamp.
MyDoom utilise ensuite les hôtes contaminés pour lancer des attaques de type dénis de service sur les sites web de SCO et Microsoft (respectivement versions A et B du virus).
Bien que les attaques de type dénis de service soient maintenant passées, et même si le virus ne détruit aucune donnée, MyDoom reste dangereux puisqu'il installe une "backdoor" (porte dérobée) sur les machines infectées, ce qui rend possible leur prise de contrôle à distance.
Détecter
Pour déterminer si vous êtes infectés par le virus MyDoom A (Windows NT, 2000, XP):
- cliquez sur "Démarrer" puis "Exécuter";
- taper "cmd" puis cliquez sur "OK";
- tapez "cd \";
- tapez "dir shimgapi.dll/a/s";
- si le fichier shimgapi.dll est trouvé, la machine est infectée par MyDoom A.
Pour la version B du virus, la procédure est la même. Il suffit de remplacer shimgapi.dll par ctfmon.dll.
On trouve une procédure d'éradication sur:
- http://www.microsoft.com/security/antivirus/mydoom.asp
- http://vil.nai.com/vil/content/v_100983.htm
- http://securityresponse.symantec.com/avcenter/venc/data/w32.novarg.a@mm.html
- http://securityresponse.symantec.com/avcenter/venc/data/w32.mydoom.b@mm.html
Anticiper
Quelques mesures permettent d'éliminer ou tout du moins de diminuer le risque de voir son système infecté par ce type de virus:
- appliquer régulièrement les correctifs de sécurité;
- tenir à jour son antivirus;
- effectuer un filtrage adéquat au niveau du serveur mail;
- configurer correctement son firewall;
- effectuer des contrôles d'intégrité des systèmes critiques.