Un virus exploite une faille vieille de 6 mois chez Symantec

Une variante mise à jour du programme malicieux ''Spybot.ACYR'' vient de se manifester, grâce à une faille résiduelle dans certains logiciels antivirus de Symantec.


Retour gagnant '
Dénommé ''Spybot.ACYR'' par Symantec et ''Sdbot.worm!811a7027'' chez McAfee, un ver qui transforme certains PC vulnérables en zombies vient de connaître une spectaculaire renaissance, grâce à une faille découverte il y a six mois sur certains produits Symantec, dont Client Security et Antivirus. L'éditeur, père du célèbre Norton, reconnaît l'attaque, détectée notamment par le biais d'un pic d'activité autour du port 2967 sous Windows et d'assauts menés contre des sites relevant du domaine ''.edu''. Etrangement, Symantec avait publié un correctif pour la faille évoquée plus haut, le 25 mai dernier, mais il semble que certains de ses clients aient omis de l'installer.

Additionnellement, cinq failles déjà corrigées sous Windows—et dont les plus récentes remontent à août dernier—servent aussi de point d'entrée à cette menace, notamment une qui affecte la gestion des transferts de fichiers et des impressions en réseau. La vulnérabilité la plus ancienne date de 2004, selon Symantec. Une fois installé, ''Spybot.ACYR'' (qu'il convient bien entendu de ne pas confondre avec son homonyme, le logiciel de protection anti-espion ''Spybot – Search and Destroy''), ouvre une porte dérobée et une connection IRC, par lesquelles le PC touché devient contrôlable à distance, à l'insu de son utilisateur.

''Spybot'' a fait son apparition pour la première fois en 2003, et a connu une riche descendance depuis. Au cours du premier semestre 2006, on a dénombré plus de 43.000 variantes de programmes aptes à ''zombifier'' nos PC, ce qui en fait la première menace contre Microsoft Windows.