Certains le qualifient de virus. D’autres le considèrent comme un ver. Certains l’orthographient « My Doom » ou l’appellent simplement le virus Doom. 

Quelle que soit l’appellation ou l’orthographe, MyDoom est tout sauf inoffensif. Ce tout petit code se propage d’un ordinateur à un autre par l’intermédiaire des pièces jointes aux e-mails. Si vous recevez ces messages et ouvrez la pièce jointe, le programme s’installe et bientôt, chaque personne de votre carnet d’adresses reçoit un message émanant de votre ordinateur. 

MyDoom a fait son apparition en 2004 et les attaques lancées à cette époque ont été neutralisées depuis longtemps. Mais beaucoup d’ordinateurs sont encore infectés. Il est donc utile de connaître le mode opératoire de ce ver et de savoir comment l’éliminer de votre ordinateur. 

Développement du virus MyDoom

En janvier et février 2004, des utilisateurs du monde entier ont commencé à recevoir des messages mystérieux (en anglais) qui disaient : « Je fais simplement mon travail, rien de personnel, désolé ». Chaque e-mail était accompagné d’une pièce jointe et chaque fois que les utilisateurs vérifiaient leur boîte de réception, ils recevaient une autre copie. Le coupable était le virus MyDoom. 

MyDoom est un ver très efficace, conçu pour transformer des centaines de milliers d'ordinateurs en zombies. Les cybercriminels pouvaient ensuite utiliser chaque terminal piraté pour lancer une attaque par déni de service (DoS) contre une entreprise qu’ils avaient pris pour cible. 

En 2004, personne ne savait qui avait développé le code. Pour certains, le ver MyDoom ressemblait beaucoup à d’autres vers développés dans les laboratoires russes. Mais une présomption n’est pas une preuve et, au bout du compte, personne n’a jamais su qui avait créé le code ni pourquoi. 

Les experts s’accordaient néanmoins sur le fait qu’il était dangereux. Certains journalistes ont qualifié le code de :

• Rapide - Aucun autre virus ne s’était propagé aussi rapidement.
• Efficace - MyDoom a infecté plus de 500 000 ordinateurs en une seule semaine. 
• Coûteux - Les dommages ont été estimés à quelque 38,5 milliards, voire plus. 

Le virus a pris le contrôle des ordinateurs hôtes et de nombreux signalements d’infections expliquaient la procédure à suivre pour éliminer le code. Mais deux entreprises en particulier ont fait les frais de MyDoom. 

La première version du ver a infecté des ordinateurs pour bombarder la société SCO Group de demandes de chargement de page d’accueil. Incapable d’absorber un tel volume de trafic, le site web de l’entreprise a été mis hors service. Après une heure d’attaque incessante, l’entreprise a tout simplement changé les adresses du site.

La seconde version du ver avait deux objectifs :

• L'attaque : les ordinateurs infectés ont bombardé le site web de Microsoft.
• La Protection : après l’infection, les ordinateurs ne pouvaient plus accéder à 65 sites d’antivirus. En substance, le ver empêchait les utilisateurs de nettoyer leurs ordinateurs.

Avant le déploiement de MyDoom, les experts étaient conscients de la possibilité d'une telle attaque, mais n’avaient aucune idée de la forme qu’elle prendrait, de son déroulement ni des mesures à prendre pour l’éradiquer. Ils ont eu tout loisir de le découvrir dans les mois qui ont suivi le déclenchement de l’attaque.

Comment fonctionne MyDoom ?

Le plus souvent, les utilisateurs ne se rendaient pas compte que leur ordinateur était infecté. Ils remarquaient tout au plus le ralentissement du système ou des interruptions de service intermittentes, mais ne recevaient probablement pas d’alerte ou d’avertissement signalant un problème de fonctionnement de leur ordinateur. Pendant ce temps le code, agissant silencieusement dans l’environnement Windows, permettait au ver de se propager.

L’attaque MyDoom se déroule en quatre étapes :

• Téléchargement - L’ouverture de la pièce jointe permet au code de se déplacer dans l’environnement Windows. Aucun autre environnement n’a été touché. 
• Propagation - Le code puise dans les contacts enregistrés sur l’ordinateur de la victime. Chaque adresse trouvée reçoit une nouvelle version du ver en tant que pièce jointe à un message. 
• Exécution - À une date fixée, les ordinateurs infectés envoient des demandes au site web de SCO Group ou à celui de Microsoft. 
• Persistance - Les attaquants laissent une porte dérobée (backdoor) ouverte, dans l’éventualité de leur retour. 

Les utilisateurs doivent savoir que, même si les hackers ont conçu le code pour attaquer un site web spécifique, le code n’expire pas et ne se désinstalle pas. Votre ordinateur pourrait toujours être infecté à l’heure actuelle, et vous pourriez être en train d’utiliser une machine compromise par un message que vous ne vous souvenez même plus d’avoir ouvert. 

Le virus MyDoom peut-il vous affecter ?

N’importe quel ordinateur infecté par MyDoom possède une porte dérobée dont, en théorie, les attaquants pourraient se resservir. Vous pourriez devenir soudainement partie prenante d’une attaque de zombies.

Plusieurs indices peuvent laisser penser que votre ordinateur participe à une attaque de ce genre :

• Lenteur - L’ouverture, la fermeture, l’enregistrement et toute manipulation de fichiers Windows peuvent prendre plus longtemps que prévu. 
• Irritation - Si votre ordinateur commence à envoyer des messages aléatoires à chaque contact de votre carnet d’adresses, vous risquez de recevoir en retour des doléances. 
• Alertes - Si vous êtes connecté à un réseau géré, votre administrateur peut se demander pourquoi vous avez besoin d’une telle bande passante pour faire votre travail. 

Vous pourriez bien sûr ne jamais rien remarquer. Il est possible que votre ordinateur ne fasse jamais partie d’une nouvelle attaque contre une entreprise ou un pays. Mais la porte dérobée est toujours là, en attente d’être exploitée par les hackers. Elle restera un risque de sécurité à moins que vous ne décidiez d’agir.

Mesures de protection contre MyDoom 

Si vous pensez avoir été infecté par MyDoom, identifiez le problème, puis supprimez-le. Ensuite, optez pour une solution de prévention pour éviter d’être réinfecté. 

Si vous pensez avoir été infecté :

• Supprimez le fichier - Certains articles de presse expliquent qu’il est généralement stocké dans le répertoire %system%\drivers\etcwhere, %system% étant le fichier du système Windows : C:\windows\system32 pour Windows XP, C:\winnt\system32 pour NT/2000, C:\windows\system pour Windows 9x/Me.
• Mettez à jour Windows - Le ver ne peut infecter que les ordinateurs Windows et les programmeurs le savent. Si vous n’utilisez pas la dernière version de Windows, n’attendez plus pour faire la mise à niveau. 
• Exécutez un logiciel antivirus - Téléchargez le dernier correctif afin que votre antivirus dispose des protections les plus récentes contre les menaces. Ensuite, nettoyez tout votre système. 
• Vérifiez que tout fonctionne - Contactez les personnes de votre carnet d’adresses et demandez-leur s’ils ont reçu des messages suspects de votre part. Ensuite, rendez-vous sur les sites web des principaux antivirus et voyez si vous pouvez charger la page. 
• Répétez la procédure - Si votre ordinateur est toujours infecté, recommencez la procédure. 

Les vers tels que MyDoom ont besoin de vous pour télécharger le virus. Vous avez donc la possibilité d’éviter le problème. Commencez par vérifier les adresses des expéditeurs. Si vous recevez des messages de personnes inconnues, ne les ouvrez jamais. Ne cliquez pas non plus sur les pièces jointes d’e-mails suspects. 

Si vous faites partie de l’équipe sécurité d’une grande entreprise, veillez à ce que tous les collaborateurs respectent ces consignes. Encouragez-les à signaler tout message ou événement suspect afin que vous puissiez les vérifier pour eux.

Protégez-vous avec Okta 

Okta propose des solutions de sécurité qui vous aident à réduire les risques et qui limitent l’accès des utilisateurs aux ressources en fonction de leur rôle et de leurs besoins. Découvrez comment Okta peut aider les entreprises, des plus petites aux plus grandes.

Références

Who Made MyDoom? Février 2004. New Scientist. 

More Doom? Février 2004. Newsweek. 

MyDoom Shows Vulnerability of the Web. Février 2004. Network Computing. 

Update: New Mydoom Worm Discovered. Janvier 2004. Computerworld.

Worm:W32/MyDoom. F-Secure. 

MyDoom: The 15-Year-Old Malware That’s Still Being Used in Phishing Attacks in 2019. Juillet 2019. ZD Net.

How to Thwart Renewed "MyDoom" Email Bug. Janvier 2006. ABC News.