Wallon cherche la faille, Dabber la trouve à l'aide de Sasser

Découvert jeudi dernier, Dabber tire partie du composant de transport (FTP) de Sasser (voir l'article publié le 04/05/2004) pour se déplacer d'ordinateur en ordinateur. Selon la plupart des observateurs, l'exploitation d'une "faille" d'un virus existant par un autre code malicieux constitue un phénomène sans précédent.

Un constat qui pourrait en rassurer plus d'un car il tendrait à prouver que Dabber restera circonscrit aux seuls systèmes infectés par Sasser, ce qui représente néanmoins 3% du parc mondial de machines.


En tout état de cause, l'originalité de Dabber semble s'arrêter là. Les mécanismes qu'il met en oeuvre une fois installé sont en effet assez proches de ceux d'autres virus, tels que MyDoom, Netsky ou Bagle. Comme ces derniers, il est conçu pour détruire certains vers (Sasser notamment) présents sur les PC infectés, avant de se servir de ces derniers comme machines relais en vue de d'atteindre d'autres terminaux. Autre action lancée par Dabber : l'ouverture d'une porte arrière (par le port 9898) pouvant permettre de lancer des attaques par déni de service.

Découvert quelques heures après Dabber, Wallon présente un mode de fonctionnement radicalement différent. Entrant dans la catégorie des virus de type mass mailer, il intègre un serveur SMTP pour se diffuser. Classiquement, il envoie ses messages à l'ensemble des adresses électroniques présentes sur l'ordinateur infecté.

Wallon s'attaque à Internet Explorer, Dabber à Sasser.

Les courriels ainsi envoyés ne contiennent cependant pas directement le virus, mais une URL (masquée sous le nom d'un lien Yahoo.com au format HTML) vers un site contrôlé par l'auteur du virus. Exploitant une faille de Windows connue sous le nom d'object data vulnerability, cet espace Web lance ensuite le téléchargement de l'archive du virus en local. Les actions engendrées sont la prise en main du navigateur de l'internaute (Internet Explorer en l'occurence) dont les adresses seront systématiquement redirigées vers certains sites Web - notamment pornographiques.

L'activité de Wallon semblait croître en fin de semaine dernière, à la différence de celle de Dabber qui tendait plutôt à stagner. Force est de constater que les éditeurs d'antivirus sont partagés quant à l'évaluation de son degré de criticité. Certains (comme Symantec, Network Associates et McAfee) le jugeant bas, d'autres (Sophos PLC et F-Secure) le considérant beaucoup plus élevé.

Source : Journal du Net