6 avril 2001 Un nouveau virus-ver menace les serveurs Linux Un nouveau virus autor�pliquant (ver informatique) prenant pour cible les machines qui fonctionnent sous syst�me Linux fait son apparition cette semaine. Le programme baptis� �Adore� ouvre un acc�s d�rob� (backdoor) afin d'�pier tous les programmes utilis�s par un serveur. � Adore semble �tre une variante du ver de Ramen � a indiqu� David Dittrich, administrateur s�curit� pour l'universit� de Washington. Le nouveau ver reprend en effet le type d'action du �virus-nouille� Ramen (lire notre actualit� du 20 janvier), qui exploite une faille de s�curit� des syst�mes d'exploitation Red Hat Linux 6.2 et 7.0 et s'infiltre par le biais de deux de ses composants (RPC-STATD et WU-FTPD), utilis�s lorsque la machine fait office de serveur pour h�berger un site internet. Le ver Adore, �galement connu sous le nom de �ver rouge�, multiplie par deux les principales caract�ristiques de Ramen. Il exploite quatre failles au lieu de deux. Son principe est similaire : il scanne de fa�on al�atoire des adresses IP � la recherche de machines tournant sous Red Hat, s'installe gr�ce aux failles sur la machine en question, et �crase un programme utilis� par l'administrateur pour lister les applications actives. Les messages envoy�s par le ver sont de v�ritables rapports d'espionnage, qui dressent un profil pr�cis du serveur contamin�. Le ver envoie ensuite de myst�rieux courriers �lectroniques vers quatre destinataires (au lieu de 2 pour Ramen), localis�s en Chine et aux Etats-Unis. Ces messages sont de v�ritables rapports d'espionnage, dressant un profil pr�cis du serveur contamin�. Par la suite, Adore reprend sa recherche en utilisant la machine infect�e pour scanner de nouvelles adresses IP. Plus grave : Adore remplace un module crucial qui g�re le protocole ICMP (Internet Control Message Protocol), utilis� pour corriger les erreurs d'une machine � l'autre. Le module ICMP ainsi remplac� int�gre un acc�s d�rob� qui permet � un pirate d'acc�der plus tard au syst�me. Enfin, Adore attend 4 h 02 du matin (horloge interne) et supprime toutes ses traces, en laissant ouverte la backdoor. Les derniers patchs de Red Hat, pourtant sortis il y a plusieurs mois, ferment les failles de s�curit� exploit�es par Adore, � mais la majorit� des administrateurs n'ont pas encore mis leur syst�me � jour �, explique Matt Fearnow du SANS Global Incident Analys Center Article de Robert Lemos (San Francisco) avec Christophe Guillemin. __________________________________________________ Voila vous propose une boite aux lettres gratuite sur Voila Mail: http://mail.voila.fr
