Storm Worm
From Wikipedia, the free encyclopedia
Storm Worm est le nom donné à une famille de logiciels malveillants apparue en janvier 2007, principalement diffusée via des campagnes de pourriel reposant sur l’ingénierie sociale (pièces jointes ou liens menant au téléchargement d’un exécutable)[1],[2]. Elle est également connue, selon les éditeurs et organismes de réponse à incident, sous les noms Zhelatin, Nuwar ou (Trojan.)Peacomm[3]. Une fois exécutée, elle vise à enrôler l’ordinateur infecté dans le botnet Storm et à télécharger d’autres composants malveillants au moyen d’une architecture pair à pair, dont des échanges imitant le protocole du réseau Overnet/eDonkey[4],[1]. Les machines compromises peuvent notamment servir à l’envoi de courriers non sollicités, à des attaques par déni de service distribué (DDoS), ou au déploiement de charges utiles supplémentaires (par exemple des modules de collecte et d’exfiltration d’informations)[3],[5]. Sa détection est compliquée par la multiplication des variantes et par l’emploi de techniques d’évasion, dont un empaquetage polymorphe (Tibs) modifiant régulièrement l’empreinte des exécutables distribués[1].
Historique et dénomination
L’expression « Storm Worm » se diffuse dans la presse et certains rapports techniques à partir des campagnes de pourriels de l’hiver 2006-2007, dont les objets et contenus s’appuient fréquemment sur l’actualité et des événements saisonniers[3]. Un article de Virus Bulletin décrit une vague initiale (« new year’s spam attack ») débutant le 18 janvier 2007, associée à un cheval de Troie alors désigné Trojan.Peacomm et qualifié de « Storm trojan » en raison de lignes d’objet évoquant de violentes tempêtes en Europe[1].
Les sources techniques et les éditeurs d’antivirus emploient des noms variés pour cette famille (Storm Worm, Zhelatin, Nuwar, Peacomm), ce qui reflète des conventions de dénomination différentes selon les acteurs et les critères de classification (ver, cheval de Troie téléchargeur, composants modulaires)[3],[2].
Mode de propagation
D’après le CERT-FR, les versions décrites en 2007 ne reposent pas principalement sur l’exploitation automatique de vulnérabilités, mais sur des procédés d’ingénierie sociale incitant l’utilisateur à se rendre sur un site ou à cliquer sur un lien présent dans un courriel afin de télécharger et installer un fichier exécutable[3]. Les machines compromises peuvent ensuite devenir elles-mêmes émettrices de courriels, en combinant des listes préconstruites (corps de message, objets, domaines) afin de varier les expéditeurs et les formulations, et d’augmenter les chances d’exécution par les destinataires[3].
Les bulletins du CERT-FR signalent également des vagues s’appuyant sur des périodes propices (Noël, Nouvel An, poisson d’avril) et des messages contenant des liens vers des sites malveillants ou des pages incitant au téléchargement de fichiers exécutables[6],[7].
Fonctionnement
Une fois installé, Storm Worm cherche à rejoindre un réseau de machines compromises (bots) afin d’obtenir des instructions et de télécharger d’autres outils d’attaque[3]. Le CERT-FR décrit notamment l’usage de réseaux pair à pair et d’« enregistrements DNS éphémères », ce qui correspond à des techniques de type fast flux (rotation rapide de noms et d’adresses) visant à rendre le contrôle et l’hébergement de contenus malveillants plus difficiles à neutraliser[3],[2].
Un article technique de Virus Bulletin indique que des variantes de Trojan.Peacomm emploient un pilote et des fonctions de type rootkit pour dissimuler des fichiers, des clés de registre et des connexions réseau, ainsi qu’un empaquetage (Tibs) produisant des exécutables dont l’apparence binaire change régulièrement, sans modification nécessaire de la fonctionnalité[1].
Botnet
Le contrôle des machines infectées peut s’appuyer sur des communications pair à pair. Le CERT-FR signale ainsi que Storm Worm utilise le réseau Overnet pour communiquer et prendre connaissance de commandes, ce qui rend les échanges proches d’un trafic P2P légitime et complique la détection par simple analyse réseau[4]. Des travaux académiques ont pris Trojan.Peacomm comme cas d’étude de botnet P2P et de mécanismes de détection et d’atténuation associés[8],[2].
Les bulletins du CERT-FR associent les compromissions à des usages tels que l’envoi de courriers non sollicités et la participation à des attaques DDoS[3]. Les autorités américaines ont également alerté sur l’usage de Storm Worm pour constituer un botnet exploité à des fins criminelles (dont des fraudes et des attaques sur des systèmes)[5].
Évolutions et atténuation
Les bulletins du CERT-FR décrivent des vagues successives reposant sur des thèmes d’actualité et des périodes calendaires afin d’augmenter l’efficacité de la tromperie (par exemple autour des fêtes de fin d’année ou du 1er avril)[6],[7]. Un rapport du CLUSIF (2009), citant Microsoft, indique qu’en septembre 2007 l’outil Microsoft Malicious Software Removal Tool (MSRT) a supprimé des variantes de Storm sur plus de 274 000 machines, ce qui illustre l’ampleur des opérations de désinfection rapportées à cette période[2].
Le CERT-FR signale par ailleurs l’émergence, à partir de 2009, d’autres familles de vers se propageant par courriel et présentant des fonctionnalités proches de celles attribuées à Storm Worm, comme Waledac[9].
