Le cheval de Troie Mocbot galope sur la dernière faille Plug and Play (MÀJ)
Des PC vulnérables auraient été infectés par le cheval de Troie Mocbot, le premier logiciel malveillant qui exploite la faille du module Plug and Play corrigée dans un bulletin de sécurité d'octobre (MS05-047).
Selon les éditeurs d'antivirus qui annoncent la découverte de Mocbot, ce cheval de Troie serait le premier logiciel malveillant qui exploite cette faille «importante» du module
Plug and Play, qui a été décrite et corrigée dans le bulletin de sécurité
MS05-047 publié le 11 octobre dernier.
La description qu'en donne McAfee souligne qu'il ne présente qu'un risque faible pour les particuliers aussi bien que pour les entreprises. Sous Windows 2000 et XP, le cheval de Troie s'installerait comme un service du système et se connecterait à des serveurs IRC afin d'y attendre des instructions, par exemple lancer une attaque par déni de service distribuée et rechercher d'autres PC vulnérables.
Chez F-Secure, on ajoute que les deux serveurs IRC localisés en Russie ne répondaient pas ce dimanche et que la faille
Plug and Play peut être exploitée par le biais des ports TCP 139 et 445. En outre, la firme de sécurité informatique incite les retardataires à mettre leur système d'exploitation à jour le plus tôt possible (voir le
blogue et la
description de Mocbot).
En août dernier, les vers informatiques Zotob avaient paralysé plusieurs réseaux américains opérant sous Windows 2000 en exploitant une faille différente, celle-là de gravité «critique», du même module
Plug and Play de Windows (
détails).
Mise à jour (24 octobre) : Après une analyse plus détaillée de Mocbot, McAfee conclut que le cheval de Troie exploite la faille révélée par le bulletin de sécurité
MS05-039, c'est-à-dire celle qui a été exploité par Zotob. Cette information est confirmée par Symantec, qui décrit Mocbot comme un ver informatique capable de se propager en exploitant cette brèche critique qui a été colmatée par Microsoft en août dernier.
ACCUEIL
