MyDoom s'en prend à Microsoft
Après que de nombreux chercheurs en sécurité aient analysé le code source de MyDoom.O, le dernier de son espèce, ils ont appris qu'une seconde attaque de type déni de service débutera mardi prochain à l'encontre de Microsoft.com.
Rappelons que MyDoom.O, appelé également MyDoom.M ou MyDoom.M@mm, installe un troyen connu sous le nom de Zincite.A sur chaque PC qu'il infecte. Ce troyen ouvre le port 1034 et attend d'éventuelles commandes. Un des composants de ce virus, Zindos, scanne alors les machines écoutant sur le port 1034, et s'il en trouve une, s'y réplique pour lancer un exécutable qui procédera alors à l'attaque.
On se souvient qu'il y'a quelques temps, une attaque du même type avait été lancée contre microsoft.com, et qu'elle s'est retrouvée purement et simplement "avalée" par les serveurs de Microsoft, puisqu'ils sont déjà conçu pour engranger une très forte montée en charge.
32
Commentaires
Vous connaissez MSN TV ?
- Mise à jour pour Macromedia Flash MX 2004
- Microsoft sort son "Google News killer"
- Computer Associates prudent devant ses bons résultats
- Google se prépare à entrer en bourse
- Free proposera le 2048 pour tous
- Un nouveau service mail : SeeqMail
- Free : L'affaire échange Sagem - Freebox jugée
- [Mise à jour] Service Pack 1 pour Office 2003
- Catalyst 4.8 Beta
Dell: créer des emplois "partout dans le monde"
- ForceWare 61.77 avec support DirectX 9c
- Nouvelle grille tarifaire chez AMD
- Windows 64-bit retardé
- 5 chaînes pour les JO 2004 sur Freebox TV
- Wanadoo n’est plus majoritaire
- Article : Coupe du monde des jeux vidéo
- Test du 3rd eye, l'overclocking selon ABIT
- Pas de Doom 3 pour Windows 98/Me
- Nouveaux modules mémoire chez OCZ
Liens commerciaux
On se souvient qu'il y'a quelques temps, une attaque du même type avait été lancée contre microsoft.com, et qu'elle s'est retrouvée purement et simplement "avalée" par les serveurs de Microsoft, puisqu'ils sont déjà conçu pour engranger une très forte montée en charge.
[g]Bon bin bon courage pour cette attaque[/g]
Rappelons que MyDoom.O, appelé également MyDoom.M ou MyDoom.M@mm, installe un troyen connu sous le nom de Zincite.A sur chaque PC qu'il infecte. Ce troyen ouvre le port 1034 et attend d'éventuelles commandes. Un des composants de ce virus, Zindos, scanne alors les machines écoutant sur le port 1034, et s'il en trouve une, s'y réplique pour lancer un exécutable qui procédera alors à l'attaque.
On se souvient qu'il y'a quelques temps, une attaque du même type avait été lancée contre microsoft.com, et qu'elle s'est retrouvée purement et simplement "avalée" par les serveurs de Microsoft, puisqu'ils sont déjà conçu pour engranger une très forte montée en charge.
Hop
- mydoom ne se replique pas via le port 1034 mais se transmet comme un grand par voie de mail contenant un fichier infect" (.scr, .pif, ...). On doit pouvoir l'administrer via une interface qui scanne les machines par contre.
EDIT : En fait tu veux dire que mydoom peut etre utilisé comme un moyen de déployer d'autres logiciels d'attaque. Je retire donc mon commentaire ci-dessus
- La dernière protection de Ms a été de couper les serveurs attachés aux ip visés par le trojan (même avec ses enormes ressources et son réseau granulé je ne pense pas qu'ils auraient pu résister à une attaque de cette ampleur
A noter que les réactions ( en entreprise ) sont __enfin__ beaucoup plus rapides et je suppose que beaucoup de particuliers sont protégés (enfin beaucoup plus)
et à part se doter de système est capable de supporter d'énormes montées en charge, ny a t-il pas de la recherche faites pour stopper ou du moins détecter les attacques par DOS. J'y connais rien mais en se basant sur les systèmes anti-flood, ne pourrait-on pas ignorer les requètes venant d'une même IP à partir d'un quota défini? on filtrerait ainsi les requètes normales, des requètes "récurrantes"...
Si quelqu'un connait un link la-dessus je suis tout ouie
Si je peux me permettre, je n'ai pas dis que c'est MyDoom qui se réplique comme ça mais Zincite
Si je peux me permettre, je n'ai pas dis que c'est MyDoom qui se réplique comme ça mais Zincite
Vi je viens d'éditer mon message
et à part se doter de système est capable de supporter d'énormes montées en charge, ny a t-il pas de la recherche faites pour stopper ou du moins détecter les attacques par DOS. J'y connais rien mais en se basant sur les systèmes anti-flood, ne pourrait-on pas ignorer les requètes venant d'une même IP à partir d'un quota défini? on filtrerait ainsi les requètes normales, des requètes "récurrantes"...
Si quelqu'un connait un link la-dessus je suis tout ouie
Bah suffit de voir comment un firewall comme ISA est capable de gérer un dos... alors imagine ce que ca donne sur 6 clusters de 10 quadri xeons
Vi je viens d'éditer mon message
vu
Ce n'est pas le serveur en cluster qui va te sauver puisque l'attaque vise à saturer la bande passante et le serveur (pas que le serveur donc). La seule méthode efficace pour se prémunir efficacement d'un DDOS c'est d'agir en amont, c'est à dire au niveau des principaux routeurs menant à ton service
yoconono "A noter que les réactions ( en entreprise ) sont __enfin__ beaucoup plus rapides et je suppose que beaucoup de particuliers sont protégés (enfin beaucoup plus)"
arffff si seulement tu avais raison concernant les particuliers... combien de personnes je connais qui rechignent à mettre à jour leur pc pretextant ne rien y connaître alors qu'un simple clic sur windows update suffit, ou meme simplement activer les mises à jour automatiques... vivement le sp2 pour palier à l'oisiveté naturelle de ceux qui ne veulent rien savoir...
Ce n'est pas le serveur en cluster qui va te sauver puisque l'attaque visa à saturer la bande passante et le serveur (pas que le serveur donc). La seule méthode efficace pour se prémunir efficacement d'un DDOS c'est d'agir en amont, c'est à dire au niveau des principaux routeurs menant à ton service
C'était pour dire qu'une telle architecture réseau était déjà en elle même par définition bien difficile à mettre à mal, mais il est évident que ça ne suffit pas
yoconono "A noter que les réactions ( en entreprise ) sont __enfin__ beaucoup plus rapides et je suppose que beaucoup de particuliers sont protégés (enfin beaucoup plus)"
arffff si seulement tu avais raison concernant les particuliers... combien de personnes je connais qui rechignent à mettre à jour leur pc pretextant ne rien y connaître alors qu'un simple clic sur windows update suffit, ou meme simplement activer les mises à jour automatiques... vivement le sp2 pour palier à l'oisiveté naturelle de ceux qui ne veulent rien savoir...
ouais au moins, même s'il peut contenir des failles (ou autre, comme tout nouveau logiciel) le sp2 apportera le minimum vital pour protéger les utilisateurs
EDIT / pour que ca soit à peut près lisible
ba la jcomprend plus rien...jsui le pire des noobs informatique (et non [g]micro[/g]-informatik) mais ça m'interresse beaucoup. de plus en y refléchissant mais solution n'est peut être pas viable du fait du grand nombre d'IP différente
tu parle de détecter des attaques type déni de service, ce que fait ISA server. D'après ce que j'ai vu il y a quelques temps, le réseau du site principal de Microsoft serait constitué de 6 clusters de 10 quadri xeons (donc 6x10 machines). On peut supposer une machine servant de firewall par cluster, ca te fait 6 ISA qui scrutent la moindre attaque, la moindre requete ICMP mal formée, et la rejette s'il le faut. J'ai éprouvé ce système sur bien des machines et je peux te dire que sur une unique machine ca le fait. Alors sur six machines équipées chacune de 4 xeons, la réactivité est largement tolérable. Maintenant, évidemment, tout dépend du nombre de machines impliquées dans l'attaque, combien de pauvres gens seront les vecteurs insoupçonés d'un dos contre Microsoft...
merci pour ton explication Jimmy R
Maintenant je ne savais pas qu'une requète d'un DOS était différente d'une requète normale d'ou mon idée de quota (en requète/unité de temps)...
Maitenant les éditeurs de la variante prennent de gros risques en mettant le code source en ligne...C com envoyé un carton d'invitation...
Un DOS se base sur des requetes mal formés et mal gérées pas l'os ou l'applicatif. Ca requetes consomment beaucoup de mémoire et de CPU et peuvent 'planter' le service. Un DOS peut être généré via une attaque de type buffer overflow par exemple
un DDOS consiste en une multitude de requete (le plus souvent valides) envoyés dans un temps très court mais continu depuis des dizaines (voire des centaines de milliers) de machine. Là un problème se pose : si tu filtre tu vas aussi refuser le service aux utilisateurs légitimes. Tout dépend aussi du type de DDOS si c'est un DDOS basé sur des requêtes icmp tu peut simplement demander au principaux point de connexion de ton réseau de refuser ce type de traffic icmp à ta destination pour un temps défini
au contraire, mettre le code source en ligne permet deux choses, l'une plutot mauvaise, et l'autre plutot bonne :
- ca permet aux éditeurs antivirus de développer un antivirus adéquat
- mais ca permet aussi d'avoir une base pour une nouvelle variante encore plus perfectionnée
dans le désordre lol
thanks Yoconono
grace à vous jvais finir par conmprendre les articles du "Le monde Informatique" 
Jimmy R> le carton d'invitation dont je parlais s'adressait aux antivirus builders et aux cibles...connsaissait pour la "trasmission du savoir" mais c cher payé pour un truc qui est censé emmerder le monde de donner la soluce si facilement...
erf vi...
yoconono "A noter que les réactions ( en entreprise ) sont __enfin__ beaucoup plus rapides et je suppose que beaucoup de particuliers sont protégés (enfin beaucoup plus)"
arffff si seulement tu avais raison concernant les particuliers... combien de personnes je connais qui rechignent à mettre à jour leur pc pretextant ne rien y connaître alors qu'un simple clic sur windows update suffit, ou meme simplement activer les mises à jour automatiques... vivement le sp2 pour palier à l'oisiveté naturelle de ceux qui ne veulent rien savoir...
ceci garantie en rien que le système fonctionnera pas la suite... d'où que les entreprises ne mette pas à jours immédiatement leurs système
bien que le serveur va gober l attaque ddos sa band passant va etre saturer non ????? donc les sites de microsoft seront ou indisponible ou fortement ralenti ???
et pourquoi ne pas fair un vers qui passe par l une de nombreuse faile de securiter et qui a pour but de ce rependre a une vitesse fulgurente et d attendre l ordre d attaquer un site preci sa ferrai bien plus mal non ???
mais bon tj bizzar que des personne ouvre nimporte quelle fichier join a un mail a coire quil s en resoive pas et quil ce jete dans le premier piege a con du monde
heu pour ceux qui croivent qu'on peut saturer facilement les serveurs de microsoft, je tient a vous rappeler qu'il utilisait des serveurs de telechargement pour les mise a jour pouvant gerer jusqua 50 000 usager simultanement et la vitesse est assez impressionante, en general je frolais le 500k/s.
asteur j'imagine que cest encore plus gros, compte tenu que tout est centraliser avec windowsupdate qui doit avoir besoin de fournir pour la grosse quantite de patch a telecharger.
de plus les utilisateurs sont loin de pouvoir uploader a une vitesse fulgurante, quand tu attaque MS tu attaque a genre 16k/s avec les haute vitesse habituelle, ici j'ai ptete 100k/s gros max mais en general les DSLeux sont plsu bas que ca. au pire essayer de le saturer en upload en fesant des requetes d'une page web, ou forcer un download sur windowsupdate sans arret, mais bon cest faite pour ca uploader a grand regime.
ce qui fait que ca prend du monde en maudit pour saturer la bande passante du site de Microsoft.
heu pour ceux qui croivent qu'on peut saturer facilement les serveurs de microsoft, je tient a vous rappeler qu'il utilisait des serveurs de telechargement pour les mise a jour pouvant gerer jusqua 50 000 usager simultanement et la vitesse est assez impressionante, en general je frolais le 500k/s.
asteur j'imagine que cest encore plus gros, compte tenu que tout est centraliser avec windowsupdate qui doit avoir besoin de fournir pour la grosse quantite de patch a telecharger.
de plus les utilisateurs sont loin de pouvoir uploader a une vitesse fulgurante, quand tu attaque MS tu attaque a genre 16k/s avec les haute vitesse habituelle, ici j'ai ptete 100k/s gros max mais en general les DSLeux sont plsu bas que ca. au pire essayer de le saturer en upload en fesant des requetes d'une page web, ou forcer un download sur windowsupdate sans arret, mais bon cest faite pour ca uploader a grand regime.
ce qui fait que ca prend du monde en maudit pour saturer la bande passante du site de Microsoft.
merci pour le mal de crane à eviter les fautes
sinon, ce type d'attaque c'est pas 50.000 pellerins qui vont attaquer...mais plus 500.000 voir 1.000.000 si le vers est bien rependu
activesync 1034/tcp ActiveSync Notifications
activesync 1034/udp ActiveSync Notifications
http://www.iana.org/assignments/port-numbers
sinon, ce type d'[g]attaques[/g] c'est pas 50.000 [g]pelerins[/g] qui vont attaquer...mais plus 500.000 voir 1.000.000 si le [g]ver[/g] est bien [g]répandu[/g]
<<< On se souvient qu'il y'a quelques temps, une attaque du même type avait été lancée contre microsoft.com, et qu'elle s'est retrouvée purement et simplement "avalée" par les serveurs de Microsoft, puisqu'ils sont déjà conçu pour engranger une très forte montée en charge. >>>
Microsoft est bien connu pour tout bouffer sur son passage ^^
je tient a vous rappeler qu'il utilisait des serveurs de telechargement pour les mise a jour pouvant gerer jusqua 50 000 usager simultanement
50 000 c'est tout ?
Les téléchargement chez MS c'est plutot 5 000 000 simultanément ouais. T'imagines le nombre de XP dans le monde qui télécharger le dernier patch lors du patch day mensuel ?
squall > [...] qu'il utilisait des serveurs [...] asteur (A cette heure) j'imagine que cest encore plus gros [...]
^** je retire cuila, c'est vilain /**
sinon, ce type d'[g]attaques[/g] c'est pas 50.000 [g]pelerins[/g] qui vont attaquer...mais plus 500.000 voir 1.000.000 si le [g]ver[/g] est bien [g]répandu[/g]
pour moi y'a que à "Pelerin" et "ver" qu'il y avait une "vrai" faute
enfin bon