Le « Storm Worm », une souche de logiciels malveillants autrefois responsable de la suppression de 20 % des spams envoyés dans le monde avant de mourir d’une mort ignominieuse il y a environ 18 mois, a été ressuscité cette semaine. Les chercheurs familiers avec les anciennes souches du ver affirment que les empreintes digitales révélatrices de la nouvelle version suggèrent fortement qu’il a été soit reconstruit par ses créateurs d’origine, soit vendu à un autre gang de logiciels malveillants criminels.
Le Storm Worm a fait surface pour la première fois en janvier 2007, se déguisant en vidéos censées représenter le carnage provoqué par des tempêtes d’une violence inhabituelle qui ont balayé l’Europe à l’époque. Mais alors que les chercheurs en sécurité commençaient plonger dans le code qui alimentait le ver, ils ont rapidement réalisé qu’ils étaient confrontés à un adversaire nettement plus sophistiqué et résistant que toute autre menace de mémoire récente.
La tempête s’est propagée en forçant les systèmes infectés à communiquer via les mêmes systèmes de partage de fichiers peer-to-peer utilisés par des millions de personnes pour partager des films et de la musique en ligne. Ces réseaux hautement décentralisés étaient considérés comme attrayants pour les auteurs de logiciels malveillants car ils ne disposaient pas d’un centre de commande et de contrôle unique, une infrastructure essentielle commune à la plupart de ces grandes collections de PC piratés contrôlés à distance qui étaient régulièrement ciblées pour être démantelées par des chercheurs en sécurité.
Storm contenait également des mécanismes d’autodéfense qui lançaient automatiquement des attaques Internet paralysantes contre les réseaux de chercheurs en sécurité qui cherchaient à infiltrer ou à perturber le botnet Storm.
Les chercheurs qui ont examiné le dernier logiciel malveillant Storm affirment que si le Storm Worm nouvellement ressuscité n’a pas la capacité de communication P2P innovante, il semble conserver la capacité d’attaquer ceux qui pourraient essayer de percer ses secrets.
Selon les membres du Projet Honeynetun groupe international de recherche sur la sécurité, le nouveau Storm Worm contient environ les deux tiers du code Storm original.
« Nous avons constaté que 236 des 310 fonctions distinctes du ver étaient les mêmes [as the old version], » mentionné Félix Leder, un analyste de logiciels malveillants du projet. « Comme le code source de Storm n’a jamais été rendu public, on en déduit qu’il y a deux possibilités avec cette nouvelle version : la première est que ce soit la même équipe de développeurs, et la deuxième possibilité est qu’une autre équipe ait acheté le code source pour ce ver.
On ne sait toujours pas si cette variété Storm 2.0 sera aussi réussie et prolifique que son prédécesseur. Mais selon un article de blog par société de sécurité Californieles conservateurs du nouveau ver Storm utilisent très activement la collection de PC infectés par ce logiciel malveillant pour relayer une fois de plus les courriers indésirables faisant la publicité de pilules d’amélioration pour hommes et de sites Web pour adultes.
En savoir plus sur l’analyse du projet Honeynet de cette nouvelle menace sur ce lien ici.