On a pu observer deux attaques mondiales sur Internet en 2003. Elles peuvent être considérées comme les plus grandes dans l’histoire d’Internet. C’est le ver Slammer qui prépare le terrain pour ces attaques en exploitant une vulnérabilité des serveurs MS SQL pour se propager. Slammer peut être considéré comme le premier ver « sans corps » classique à illustrer parfaitement les capacités des vers flash, capacités qui n’avaient pas été prévues au cours des années précédentes.
En l’espace de quelques minutes, le 25 janvier 2003, le ver infecte plusieurs centaines de milliers d’ordinateurs dans le monde et augmente le volume du trafic sur le réseau à un tel point que plusieurs tronçons nationaux d’Internet s’effondrent. Selon les experts, le trafic aurait augmenté de 40 à 80 % dans divers réseaux. Ce ver attaque les ordinateurs via les ports 1433 et 1434. Une fois à l’intérieur de l’ordinateur, il ne se copie pas sur un disque mais reste simplement dans la mémoire de l’ordinateur. Une analyse de la dynamique de l’épidémie permet d’affirmer que celle-ci a débuté en Extrême-Orient.
La deuxième épidémie, plus importante, se déclenche en août 2003. Elle est causée par Lovesan qui met à jour la vulnérabilité de Windows. A l’instar de Slammer,LoveSan exploite une vulnérabilité de Windows pour se reproduire. La seule différence étant que Lovesan exploite une faille dans le service RPC DCOM de Windows 2000/XP. La presque totalité des Internautes est attaquée par ce ver.
En ce qui concerne les virus qui s’attaquent aux nouvelles plates-formes et applications, l’année fut très calme. L’unique événement fut la découverte, par Kaspersky Lab de MBP.Kynel. Ce virus infecte les documents MapInfo et est programmé en MapBasic. Il ne fait aucun doute que le virus MBP.Kynel est le fruit d’un programmeur russe.
Les vers de courrier électronique sont responsables d’un nombre incessant d’épidémies en 2003. Ganda et Avron sont détectés pour la première fois en janvier. Ganda provient de Suède et demeure à l’heure actuelle l’un des vers de courrier électronique les plus répandus en Scandinavie et ce, malgré l’arrestation par la police suédoise de l’auteur du virus à la fin du mois de mars.
Avron est le premier ver créé dans l’ex-URSS capable de déclencher une épidémie mondiale. Le code source du ver a été publié sur Internet, ce qui a conduit à l’apparition de nombreuses autres versions moins efficaces.
L’apparition, en janvier, du premier ver Sobig est l’un des autres faits marquants de 2003. Les vers issus de cette famille ont tous causé des épidémies de plus ou moins grande ampleur, mais c’est la version « f » qui détient le record et deviendra le ver le plus distribué via les réseaux dans l’histoire d’Internet. Au point culminant de l’épidémie, Sobig.f, détecté pour la première fois en août, était présent dans un message sur 20. Les créateurs de la famille Sobig voulaient créer un réseau de machines infectées afin de lancer des attaques par déni de services sur des sites choisis au hasard et pour diffuser du courrier indésirable.
Le ver de courrier électronique Tanatos.b gardera aussi sa place en virologie informatique. La première version de Tanatos remonte au milieu de l’année 2002, mais la version « b » n’apparaîtra qu’un an plus tard. Ce ver exploite la faille IFRAME dans MS Outlook afin de se lancer automatiquement au départ des messages infectés. Tanatos fut à l’origine de l’une des plus grandes épidémies par courrier électronique de 2003, devancé uniquement par Sobig.f qui détient certainement le record du nombre de machines infectées par un ver de messagerie.
Les vers de la famille Lentin continuent d’apparaître. Tous ces vers sont écrits en Inde par un groupe local de pirates informatiques dans le cadre de la guerre virtuelle que se mènent les pirates informatiques d’Inde et du Pakistan. Les versions « m » et « o » sont les plus répandues. Le virus se reproduit sous la forme d’une archive ZIP jointe aux messages infectés.
Les auteurs de virus russes ne restent pas inactifs. Mimail, également à l’origine d’une épidémie mondiale, est le deuxième ver issu de l’ex-URSS. Ce ver exploite la dernière vulnérabilité mise à jour dans Internet Explorer pour s’activer. Cette vulnérabilité permettait l’extraction de code binaire depuis des fichiers HTML afin d’être exécuté. La première utilisation est signalée en Russie en mai 2003 (Trojan.Win32.StartPage.l). Par la suite, la vulnérabilité sera utilisée par la famille Mimail et par d’autres chevaux de Troie. Les auteurs du ver Mimail ont publié le code source sur Internet, ce qui a donné naissance à plusieurs autres variétés du virus en novembre 2003 écrites par d’autres auteurs de virus.
Septembre est le mois de Swen. I-Worm.Swen, qui se présente sous la forme d’un correctif de Microsoft, parvient à infecter plusieurs centaines de milliers d’ordinateurs dans le monde et reste à ce jour l’un des vers de courrier électronique les plus répandus. L’auteur du virus a exploité la crainte des utilisateurs qui étaient toujours sous le choc des épidémies causées par Lovesan et Sobig.f.
Une épidémie plus récente et toute aussi grande fut causée par Sober, un ver de courrier électronique assez simple programmé par un Allemand. Il s’agissait d’une imitation de Sobig.f, le leader de l’année.
En 2002, la tendance était à l’augmentation du nombre de chevaux de Troie espion ou exploitant les portes dérobées. Cette tendance se poursuit en 2003. Backdoor.Agobot et Afcore sont les représentants les plus remarquables de cette catégorie. On compte actuellement plus de 40 versions de Agobot. L’auteur de la version originale a mis sur pied un réseau de sites Internet et de canaux IRC où n’importe qui pouvait, en échange d’un paiement de 150 USD minimum, devenir le propriétaire d’une version » exclusive » de Backdoor-a, créée selon les spécifications du client.
Afcore est un peu moins répandu. Toutefois, afin de masquer sa présence dans le système, il utilise une méthode inhabituelle : il se place dans les systèmes de fichiers additionnels des systèmes NTFS, autrement dit dans le flux de répertoires et non pas dans le flux de fichiers.
Une nouvelle tendance à risque est mise à jour à la fin de l’année 2003 : un nouveau type de chevaux de Troie, les chevaux de Troie proxy. Il s’agit du premier cas incontestable de coopération entre les auteurs de virus et les diffuseurs de courrier non sollicité. Ils ont commencé à utiliser les machines infectées par de tels chevaux de Troie pour lancer de grandes opérations de diffusion de courrier indésirable. Il est évident également que les spammeurs ont été impliqués dans un certain nombre d’épidémies vu que les programmes malveillants se sont diffusés selon des techniques propres à la diffusion du courrier indésirable.
Les vers Internet représentent la deuxième classe de virus la plus active en 2003 et plus particulièrement I-Worms qui se reproduit en saisissant les mots de passe d’accès à des ressources réseau distantes. En règle générale, ces vers reposent sur des clients IRC et balaient le système à la recherche d’adresses d’utilisateurs IRC. Ils tentent ensuite de pénétrer dans les ordinateurs à l’aide du protocole NetBIOS et via le port 445. La famille de vers Internet Randon est l’un des meilleurs exemples de cette classe de virus.
Tout au long de l’année, les vers Internet resteront le principal type de programmes malicieux.
Les virus, et tout particulièrement les virus de macro comme Macro.Word97.Saver occupent la deuxième place. Toutefois, les chevaux de Troie ont dépassé les virus à l’automne et cette tendance est toujours d’actualité.