RABAT, 26 août (AFP) - - La police marocaine a arrêté jeudi à Rabat un jeune marocain soupçonné d'être le concepteur du virus "Zotob" qui s'est attaqué notamment au système d'exploitation Windows 2000, a indiqué vendredi la Direction générale de la sûreté nationale (DGSN).
Les chaînes de télévision "CNN" et "ABC News", le journal "New York Times", la filière "Disney", et l'aéroport de San Francisco comptent parmi les "victimes" de ce virus, a ajouté la DGSN citée par l'agence marocaine Map.
L'arrestation a été effectuée par un groupe mixte de la Police judiciaire et des Renseignements généraux marocains suite à "une demande d'assistance" de la Police fédérale américaine.
Le FBI avait retracé l'itinéraire du virus comme étant originaire d'un site informatique au Maroc, a-t-on précisé de même source.
Le concepteur présumé du virus, dont l'identité n'a pas été révélée, est âgé de 18 ans. Il aurait agi "en connivence" avec des réseaux de fraude sur les cartes bancaires, selon les premières investigations de la police marocaine.
Le journal britannique Financial Times avait, le 18 août, mis en garde ses lecteurs contre des anomalies ou erreurs causées par le virus Zotob.
Ce virus exploiterait des brèches dans la sécurité des plates-formes Windows 95, 98, ME, NT, 2000 et XP, avait indiqué l'éditeur de logiciels américain Symantec.
aff/pyj (Mise à jour) L'auteur présumé du ver Zotob arrêté au Maroc
Par Hélène Puel, 01net.
Mise à jour : L"auteur présumé du ver Zotob arrêté au Maroc
Le ver de l’été n’aura pas porté chance à son auteur. Mi-août, Zotob aurait pénétré en une journée les réseaux de plusieurs grandes sociétés américaines. Sans faire de dégâts mais en installant sur leurs PC un petit programme permettant à un pirate d’en prendre le contrôle ultérieurement.
Son créateur n’aura pas eu le temps d’en profiter. Selon l’AFP, il aurait été interpellé à Rabat, au Maroc, jeudi 25 août. Le FBI avait en effet découvert que le virus provenait de ce pays. Le coupable serait un jeune Marocain de 18 ans. Selon la police locale, il était associé à un réseau de fraude à la carte bancaire.
Le ver Zotob s"attaque aux entreprises américaines
Zotob E ou IRCbot.worm ouvre des ports IRC pour permettre un contrôle à distance des machines. Les entreprises américaines ont été les premières touchées.
Le scénario est devenu classique. Le 9 août dernier, Microsoft rendait publique une faille de sécurité affectant Windows 2000 ainsi que le correctif associé. Quelques jours plus tard, Zotob, le premier ver exploitant cette faiblesse circulait sur le Net, profitant du retard des internautes à mettre leur ordinateur à jour.
Plusieurs versions de ce parasite sont apparues. La dernière en date, baptisée Zotob E, IRCbot.worm ou encore Tilebot Z par les spécialistes en sécurité, utilise la même faille de sécurité que ses prédécesseurs, celles des fonctions Plug and Play de Windows 2000. Mais elle se montre plus pernicieuse.
A l"inverse de Zotob C qui se répand par mail, Zotob E scanne Internet à la recherche d"ordinateurs vulnérables utilisant le port TCP 445. Une fois la machine trouvée, il s"introduit et s"exécute. « Par rapport aux autres variantes de Zotob, ce dernier ver comporte une nouveauté. Il possède une fonctionnalité robot grâce à laquelle il cherche à ouvrir une cessionIRC [Internet relay chat, messagerie instantanée, NDLR], permettant ainsi de prendre le contrôle à distance de l"ordinateur. IRCbot.worm ne commet aucun dommage visible. Il se propage en toute discrétion pour permettre à ses créateurs de mener une attaque ultérieure », explique François Paget, représentant en France de l"AVERT, la cellule d"alerte de l"éditeur d"antivirus Mac Afee.
Windows XP épargné
A partir du moment où il est présent sur un ordinateur, le ver scanne les adresses IP du réseau à la recherche d"autres machines non protégées. En 24 heures, plus d"une centaine de grands comptes américains dont des groupes média comme CNN, ABC News,The New-York Times, The Associated Press ont été contaminés. Les particuliers sont moins exposés que les entreprises car ils utilisent peu Windows 2000. En effet, IRCbot.worm ne constitue pas une menace pour Windows Server et Windows XP.
« Le ver va continuer de se propager dans le monde pendant quelques temps. D"autant qu"avec les vacances les entreprises vont être moins réactives pour mettre à jour les patches correctifs ainsi que leurs antivirus. Toutefois, la propagation de IRCbot.worm devrait être moins violente que celle de Sasser ou de Mydoom », analyse François Paget.
IRCbot.worm aurait déjà touché l"Europe et l"Asie, mais son action serait limitée. Mais, déjà, les éditeurs d"antivirus auraient détecté une autre version du ver, Zotob F, dont les effets ne sont pas encore connus.
