Le ver MyDoom : histoire, détails techniques et conseils pour vous protéger

MyDoom, aussi connu sous le nom de Novarg, W32.MyDoom@mm, Shimgapi ou encore Mimail.R, est un logiciel malveillant qui affecte les appareils fonctionnant sous Windows.

Bien que de nombreuses personnes le qualifient de virus, MyDoom est techniquement un ver informatique, à l’instar du ver Stuxnet qui a paralysé le programme nucléaire iranien en 2010. Ce logiciel a en effet la capacité de se propager de façon autonome, sans intervention humaine. En l’occurrence, MyDoom se propage à travers des e-mails de spam contenant des pièces jointes malveillantes.

Une fois que la victime a cliqué sur le fichier, le ver s’introduit dans le système d’exploitation puis envoie des e-mails infectés à tous ses contacts. Une technique d’hameçonnage permettant au ver d’atteindre rapidement de nouveaux appareils. En effet, en voyant un nom familier dans le champ expéditeur de l’e-mail, les utilisateurs sont plus susceptibles de cliquer sur la pièce jointe et d’être infectés à leur tour.

Au moment de sa découverte en 2004, MyDoom pouvait également se diffuser via la plateforme de partage en peer-to-peer Kazaa, qui n’est plus en service aujourd’hui.

MyDoom transforme ensuite l’ordinateur infecté en “zombie”, qui rejoint un botnet dans le but de mener des attaques par déni de service distribué (DDoS). Lorsque le ver prend le contrôle du système d’exploitation de la victime, il ouvre différents ports et installe une porte dérobée permettant l’introduction d’autres logiciels malveillants.

Comme expliqué plus haut, le ver MyDoom se propage via des e-mails malveillants ou le partage en P2P. Les courriers électroniques sont envoyés avec un objet aléatoire parmi les suivants : test, hi, hello, mail delivery system, mail transaction failed, server report, status ou error. Selon les experts en cybersécurité, les pièces jointes des e-mails malveillants contiennent généralement des extensions pif, scr, exe, cmd, bat, htm, txt, doc et zip.

Lorsque MyDoom est exécuté, il se copie dans les répertoires %system% ou %temp% de l’ordinateur. Le ver crée également une valeur de registre dans l’une des clés suivantes :

• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

De cette façon, le ver s’exécute dès le lancement de votre ordinateur Windows. MyDoom déploie également un cheval de Troie de type porte dérobée permettant un accès non autorisé à votre système. Suite à cela, il prend le contrôle de l’appareil infecté et l’ajoute à un réseau de bots pouvant être utilisés dans le cadre d’une attaque DDoS.

La première version de MyDoom s’appelait MyDoom.A, suivie par MyDoom.B, qui modifiait en outre le fichier hôte d’un ordinateur infecté pour empêcher l’utilisation d’un logiciel anti-malware.

Toutefois, MyDoom.B ne s’est pas propagé aussi rapidement que la version précédente. Lorsqu’il a lancé une attaque DDoS contre Microsoft en 2004, le réseau de zombies n’était pas assez important pour mettre le site hors service.

Un certain nombre d’autres variantes de MyDoom (C, F, G/H, U, V, W, X) ont été repérées par la suite, mais aucune d’entre elles n’a atteint la notoriété de la variante A.

Depuis sa découverte en janvier 2004, le ver MyDoom a fait des dégâts considérables sur des plateformes majeures, incluant Google. On estime que MyDoom a causé 38 milliards de dollars de dommages, ce qui en fait l’un des logiciels malveillants les plus dévastateurs de tous les temps. Les chercheurs en sécurité pensent que le ver a infecté environ 50 millions d’ordinateurs dans le monde. Découvrez l’histoire du ver MyDoom en quelques dates-clés.

MyDoom a été repéré pour la première fois le 26 janvier 2004, lorsque les internautes du monde entier ont commencé à recevoir des courriers électroniques contenant une pièce jointe suspecte. À l’époque, la plupart des gens n’avaient pas la moindre idée de ce qu’était un e-mail de phishing, l’ingénierie sociale ou encore une cyberattaque. Il n’est donc pas étonnant que nombre d’entre eux aient cliqué sur un lien, aidant le ver MyDoom à se propager comme une traînée de poudre.

L’e-mail malveillant contenait le message “Je ne fais que mon travail, rien de personnel, désolé”. La propagation de MyDoom a été si rapide que le web mondial a connu un ralentissement de 10% le jour de son lancement. Au moment de l’attaque, un message électronique sur 10 dans le monde était associé à ce ver notoire.

Le 28 janvier, MyDoom a atteint son apogée, puis a commencé à décliner lentement. Toutefois, le malware a été ralenti non pas par les experts en cybersécurité mais par ses développeurs, car la variante B comportait des bugs.

Le 26 janvier, MyDoom a totalement paralysé le fonctionnement de Google, empêchant les internautes d’effectuer leurs recherches sur le site pendant une grande partie de la journée. Un autre moteur de recherche populaire, Yahoo, a été fortement ralenti mais a pu continuer à fonctionner.

MyDoom a également bloqué l’accès aux sites web de plus de 60 sociétés de sécurité, de sorte que les utilisateurs ne pouvaient pas télécharger de logiciels antivirus pour se débarrasser du ver. Les leaders de l’industrie technologique, comme Microsoft, ont offert une prime de 250 000 dollars à quiconque parviendrait à identifier les attaquants. Cependant, les coupables n’ont jamais été retrouvés.

Bien que plus de 18 ans se soient écoulés depuis le lancement de MyDoom, le ver est bel et bien toujours en activité. Il est contenu dans un peu plus de 1 % des e-mails malveillants dans le monde, principalement ceux envoyés par des spammeurs originaires de Chine et des États-Unis. Si ce chiffre peut paraître faible, il démontre néanmoins l’importance et la persistance du malware au vu de la quantité astronomique d’e-mails malveillants envoyés chaque jour.

MyDoom n’a pas changé de mode opératoire au fil des années : une fois que le ver a infecté un ordinateur, il commence à chercher d’autres adresses électroniques pour se propager.

Si vous pensez que votre ordinateur est peut-être infecté par le ver MyDoom ou par tout autre type de logiciel malveillant, prêtez attention à ses performances. Cependant, MyDoom est un ver sophistiqué, il peut donc être difficile pour les néophytes de remarquer une différence notable. Voici les signes qui devraient vous alerter :

• Votre ordinateur connaît un ralentissement inhabituel.
• Des fenêtres intruses (pop-ups) apparaissent à l’écran.
• Le ventilateur de l’ordinateur tourne constamment.
• La page d’accueil par défaut a changé.
• Vous remarquez la présence de barres d’outils dans votre navigateur que vous ne vous souvenez pas avoir installées.
• Des e-mails sont envoyés massivement depuis votre compte.
• Votre logiciel de sécurité est désactivé sans raison.

Les lecteurs plus avertis peuvent également rechercher les signes spécifiques attribués à MyDoom :

• Des ports TCP sont ouverts. MyDoom.A a ouvert des ports dans la plage 3127-3198. D’autres variantes ont ouvert des ports tels que 80, 139, 445, 1080, 8080 et 10080. Le virus nécessite un port ouvert pour établir une porte dérobée et prendre le contrôle de l’ordinateur infecté.
• Un fichier .txt aléatoire apparaît. Certaines variantes de MyDoom créent un fichier .txt contenant des données aléatoires.
• Le fichier hôte est écrasé. MyDoom peut écraser le fichier hôte, de sorte que vous ne pouvez pas utiliser votre logiciel antivirus.

• Ne cliquez pas sur les pièces jointes suspectes. Examinez toujours attentivement chaque e-mail que vous recevez et n’ouvrez jamais une pièce jointe sans être sûr à 100% qu’elle est légitime. Si vous ne pouvez pas vérifier si un message est sans danger, contactez directement l’expéditeur.
• Mettez vos logiciels à jour. Il n’est pas bon de faire fonctionner votre ordinateur avec des logiciels obsolètes, alors n’attendez jamais pour effectuer les mises à jour en temps et en heure. Celles-ci permettent de corriger des failles de sécurité, ce qui tiendra les virus et autres logiciels malveillants à l’écart.
• Installez un logiciel antivirus. Bien que les machines Windows soient équipées d’un antivirus intégré, il est recommandé de vous procurer un logiciel tiers pour renforcer votre sécurité. Vous pouvez également utiliser la fonctionnalité Protection Anti-menaces de NordVPN. Elle vous aidera à identifier les fichiers contenant des logiciels malveillants, vous empêchera d’atterrir sur des sites web dangereux et bloquera instantanément les publicités intrusives ainsi que les traqueurs web.
• Bloquez les ports. Comme MyDoom cible des ports TCP spécifiques, les bloquer vous évitera bien des problèmes.

Protégez-vous contre les menaces en ligne avec un VPN Premium.