Edition du 17/08/2005 - par Marc Olanié

Zotob fait, semble-t-il, couler plus d'encre qu'il ne fait de victimes ... pourtant il est loin d'être inoffensif. Mais qu'est-ce que Zotob ? Tout simplement un code infectieux ouvrant une porte dérobée, et qui exploite la faille « PnP » 05-039 récemment comblée par Microsoft dans le cadre de son dernier bulletin d'alertes. Le virus en question n'est pas qualifié de catastrophique par l'éditeur. Non. Ce qui pouvait préoccuper les spécialistes, c'est son héritage. En premier lieu, c'est un « virus PnP »... ce qui rappellera de bien mauvais souvenirs à certains chasseurs de failles. Ensuite, Zotob fonctionne un peu comme Mytob, lequel est une association de Rbot et de Mydoom, de sinistre mémoire. La racine Mydoom de Zotob a été éradiquée et remplacée par l'exploit PnP... ce qui ne signifie pas que Zotob connaitra le même succès que Mydoom, du moins dans sa version actuelle. Ajoutons enfin que Zotob, aussi rapide soit-il, affecte les plateformes Windows 2000 non protégées côté port IP 445... l'attaque est donc loin d'être universelle.

Les gourous sécurité sont pourtant préoccupés. Préoccupés par la soudaineté de l'attaque, puisque le virus frise le ZDE en ayant été diffusé immédiatement après la publication du bulletin d'alertes Microsoft. Préoccupés également par certaines caractéristiques incohérentes du virus, notamment le blocage des sites eBay, Amazon et Paypal... Les raisons techniques d'un tel ajout sont franchement obscures, voir ne s'expliquent que par une éventuelle « intention avortée » de la part du développeur de code. Rapidité de développement, spécificité du code, verticalité de la plateforme visée, présence d'instructions à l'efficacité discutable sur un système « normal », tout ceci ressemble à l'émission massive d'un virus visant une cible très particulière, mais dont la diffusion « semi-massive » ne serait là que pour masquer l'origine et la destination de l'attaque. Peu de risques donc du côté de Zotob. Les plus anxieux peuvent toujours passer le temps en se confectionnant une petite panoplie du « parfait screener » telle que décrite sur ce panneau affiché durant la manifestation What the Hack.