Pour certains, Zotob a provoqué une épidémie virale qui peut se comparer à celles engendrées par Sasser ou Mydoom. Apparu il y a une semaine et exploitant une faille dans Windows déjà corrigée par Microsoft le 9 août dernier, ce nouveau virus-ver est capable de transformer le système cible en PC "zombie". La machine ainsi parasitée devient contrôlable à distance par des mains rarement bienveillantes. Depuis la mise en ligne du patch correctif, les programmes malveillants exploitant cette faille se sont multipliés. Une dizaine ont ainsi déjà été identifiés. Sont visées les machines équipées de Windows 2000 SP4, Windows XP SP 1 et SP2, Windows XP Professionnel x64 Edition et Windows Server 2003 (SP1, Itanium et x64 Edition).
Le mode de propagation de ce nouveau virus-ver est pernicieux car il ne joue sur aucune intervention de la victime. Différent des mass-mailers classiques Zotob ne transite pas par e-mail piégé mais se copie lui-même de machine en machine, en se coulant dans les réseaux. La solution, pour les propriétaires de machines utilisant les systèmes d'exploitation exposés à ce risque (les ordinateurs Linux ou les Mac ne sont pas concernés), c'est de télécharger le correctif (gratuitement sur le site de Microsoft en cliquant sur "Microsoft Security Bulletin MS05-039"). Ce correctif, qui est en fait une version mise à jour de l'outil de suppression des codes malicieux, permet de se débarrasser de Zotob dans ses variantes A à E, ainsi, que des derniers virus qui ravagent le Web comme Bobax.O, Esbot.A, Rbot.MA, Rbot.MB et Rbot.MC.
Kaspersky Lab, éditeur de logiciels de sécurité informatique dont la filiale France est à Sophia Antipolis, relativise cependant l'ampleur de l'épidémie Zotob (ou Bozori), ver qui aurait touché selon la chaîne de télévision CNN, ABNews, New York Times, le congrès des Etats-Unis. Et de rappeler que les appellations du ver varient selon les éditeurs :
- Net-Worm.Win32.Bozori.a (Kaspersky)
- Zotob.e (Symantec)
- WORM_RBOT.CBQ (Trend Micro)
- IRCBot.Worm (McAfee)
- Tpbot-A (Sophos)
- Zotob.d (F-Secure)
"Kaspersky Lab a été parmi les premiers éditeurs de solutions antivirus à détecter ce ver. Les procédures de détection ont été immédiatement rajoutées aux bases antivirus aujourd'hui à 1h50 du matin", a-t-il été précisé hier mercredi. "Cependant, le laboratoire n'a reçu aucune information d'utilisateurs russes ou étrangers concernant des infections provoquées par le ver. A l'époque de Sasser, épidémie répandue en mai 2004 et avec laquelle certains media comparent déjà Bozori.a, le trafic de réseau avait alors augmenté de 20-40%, ce qui n'est pas le cas aujourd'hui".
Attention virus : Zotob, le ver qui transforme les PC en "zombies"
Jean-Pierre Largillet3 min de lecture