| Le
dernier émule de I Love You galope sur un cheval de
Troie Par le JDNet Solutions (Benchmark Group) URL : http://www.journaldunet.com/solutions/0008/000818virus.shtml |
| Depuis
l'invasion des systèmes d'information en mai dernier
par l'original du virus I Love You, des dizaines de clones
ont vu le jour sans toutefois présenter de risques
supplémentaires majeurs. Parmi ceux-ci, le dernier
en date aurait été découvert dans la
nature ("in the wild") simultanément en Russie
et en Suisse le 15 août dernier par la firme moscovite
Kapersky
Lab, éditeur de l'antivirus AVP. Moins dangereux
au premier abord que son grand frère, "I-Worm.LoveLetter.bd"
se propage suivant le même principe en s'envoyant à
tous les contacts du carnet d'adresses dans Outlook, mais
ne causerait aucun dégât à la machine
infectée. Jusque là, tout va bien. Mais pour les clients d'une banque suisse, la Union Bank of Switzerland, il s'avère être en fait une véritable unité d'infiltration. En effet, ceux ayant installé le logiciel USB permettant de conduire des transactions bancaires en ligne risquent de recevoir de façon invisible un second virus surprise du nom de Hooker. Ce dernier, un cheval de Troie classique, permet à un pirate de s'emparer à distance du poste client infecté pour télécharger des informations confidentielles, voler tous les logins et mots de passe, voire même observer les caractères saisis au cours de la frappe. Au départ, le message reçu présente une entreprise Internet suisse à la recherche d'un programmeur. La pièce jointe incriminée est un fichier nommé RESUME.TXT.VBS. A son ouverture, un texte en allemand s'affiche dans Notepad et le virus s'envoie simultanément aux contacts dans Outlook. Puis, il vérifie si le programme USB est installé en recherchant la clé de registre correspondante. S'il ne la trouve pas, il stoppe net toute activité malveillante. Dans le cas contraire, il se connecte successivement à trois sites FTP définis jusqu'à ce qu'il trouve le fichier HCHECK.exe correspondant à Hooker et le télécharge. Après exécution de ce dernier par le ver, les données confidentielles sont rapatriées dans trois e-mails anonymes également définis dans le code source. Lorsque son larcin est commis, "I-Worm.LoveLetter.bd" efface toute trace de sa présence sur le disque dur de la victime. Le virus étant peu différent de ses prédécesseurs, il semble que l'usage des antivirus mis à jour depuis l'apparition du premier I Love You devrait suffire à l'éradiquer. Toutefois, la meilleure protection est encore la prévention. Et s'il faut le répéter encore pour la millième fois : n'ouvrez pas les fichiers attachés de provenance inconnue, même si ceux-ci semblent ne présenter aucun risque. [François Morel, JDNet] |