Comment un rejeton de MyDoom a paralysé Google et consorts

Imprimer
La famille de vers "mass-mailer" MyDoom s'étoffe d'une variante (MyDoom.O ou .M) qui a affecté le fonctionnement de certains moteurs de recherche. Tout semble rentré dans l'ordre, mais l'épisode expose un nouveau mode d'attaque de ce virus-ver.

Une nouvelle variante du virus-ver MyDoom, baptisée MyDoom.M ou MyDoom.O, fait parler d’elle depuis hier. Détectée lundi 26 juillet au matin, elle a commencé à inonder les boîtes aux lettres électroniques de centaines de messages. Après avoir infecté un PC, elle lance automatiquement des requêtes ciblées sur des moteurs de recherche pour récupérer des adresses e-mail qui pourront être autant de futures victimes. Selon les spécialistes, la bestiole circule aussi sous le nom de I-Worm.MyDoom.M, I-Worm.MyDoom.R ou W32/MyDoom.L.

Lundi 26 juin, cinq heures après avoir détecté sa première occurrence au Royaume-Uni, la compagnie Message Labs avait déjà intercepté 23.000 copies de ce virus-ver. L’équipe de détection des virus de l'éditeur McAfee (ex-Network Associates) l'a classé dans la catégorie «moyennement dangereux - à surveiller», tandis que nos confrères de CNET News.com lui donnent une note de "risque" de 6 sur 10. Des dizaines de milliers de PC ont déjà été contaminés, le virus-ver affectant plus sérieusement les moteurs de recherche.

Google, Altavista et Lycos ont ainsi vu leur fonctionnement considérablement ralenti, jusqu'à devenir inaccessibles aux internautes pendant une partie de la journée. Des représentants de Google ont confirmé que la variante a affecté les performances du moteur de recherche. Mais malgré les plaintes d’internautes, l’entreprise a minimisé l’ampleur de l’attaque, affirmant qu’elle n’a pas ralenti les requêtes au niveau mondial. «Le site web Google n’a été à aucun moment affecté de manière significative», a indiqué l’entreprise dans un communiqué.

A l'insu de l'utilisateur

Une porte-parole de Yahoo affirme que l’impact du virus-ver sur le portail est resté minime grâce aux systèmes de sauvegarde mis en place. En revanche, son moteur de recherche Altavista, qui utilise une technologie différente, a rencontré davantage de problèmes.

«C’est une sorte d’attaque DDoS [déni de service distribué] par inadvertance», a indiqué Craig Schmugar, expert en virus chez McAfee. Les variantes antérieures de MyDoom recherchaient des adresses e-mail stockées sur le disque dur de l’hôte; pour les obtenir, cette nouvelle version lance des requêtes désordonnées sur des moteurs de recherche, au risque de provoquer leur saturation.

«Une machine infectée peut envoyer des milliers de requêtes», poursuit l’expert. De surcroît, l'opération risque de se dérouler à l'insu de l'utilisateur: si sa machine est récente et dispose d’une connexion à haut débit, il ne ressentira pas la légère baisse de performance.

Lundi matin, la société d’étude des performances de sites internet Keynote Systems a constaté une baisse des performances moyennes de 40 sites web comptant parmi les plus populaires. La disponibilité de ces sites descend rarement en dessous de 97%, selon Della Lowe, représentante de Keynote. Dans la journée, la fiabilité avait baissé de 1,5%, sans doute à cause la variante de MyDoom, estime Keynote. «Cela laisse pressentir un problème de plus grande ampleur sur internet; nous analysons en ce moment les données», ajoute Della Lowe.

Source CNET Networks, Inc.

Partager cette page