Laché vo kom, ou le blues du blog blackboulé

Les blogs Bebo, Myyearbook, Blackplanet, Facebook, Myspace, Friendster … tous sont frappés par le ver Koobface. Le principe de fonctionnement est simple : le lombric viral ajoute un pseudo-commentaire pointant sur une URL semblant diffuser une séquence vidéo, et l´on retombe sur une très classique demande de mise à jour de pilote Flash Player. Le procédé est usé jusqu´à la corde mais semble encore fonctionner avec bonheur auprès de la population socio-blogueuse. Il n´y a pas une semaine de cela, un proche cousin de ce ver là pointait le bout de son ombilic sur les terminaux Messenger, reconnaissable à son traditionnel « mes tofs » ou « privates pics ». F-Secure en parle longuement, mais sans entrer dans les détails. Il faut plonger dans la description qu´en fait Dancho Danchev pour se rendre compte que, derrière ce tout petit automate à contributions, se cache une organisation étourdissante : des centaines d´adresses IP perpétuellement changeantes se chargent de la diffusion de l´infection. Après ceci, le vecteur d´attaque transforme toute machine infectée en usine à d´infection via le port 7777, en obéissant à une subtile « présélection de l´abonné » en fonction de son origine… La simple liste des « hosteurs » de malwares dressée par le chasseur de sites douteux s´étale sur près de 6 pages. L´on y apprend notamment que l´organisation à l´origine de cette campagne utilise de plus en plus des techniques de typosquatting (noms approchants de domaines connus, ainsi Youtube-spy.5x .pl). Dans de précédentes attaques mettant en œuvre ce même ver Koobface, les virus étaient en grande partie stockés sur des sites légitimes dont la sécurité avait été préalablement compromise.