Attention, virus méchant ! Les vers 32-bits envahissent le réseau.

Par rapport à un virus de type classique, le ver se montre en général beaucoup plus sournois. Par définition, ce type de code malicieux utilise les différents types de connexion au réseau (web, messagerie...) pour se diffuser autour de la planète. Lorsque le ver se présente sous forme de pièce jointe à un e-mail, l'utilisateur peut décider de ne pas l'ouvrir. Mais certains types de vers, comme le fameux Kak, qui utilise des contrôles ActiveX buggés dans Outlook, se transmettent à l'insu de tous.
Parmi les dernières réelles menaces de la fin du millénaire, deux nouveaux vers présentent des technologies plus évoluées et complexes. Avec Hybris et Bymer, les virus n'arrêtent pas le progrès. Or, si le premier peut être évité en refusant d'ouvrir le fichier joint .exe livré avec le message dont l'objet commence par "Blanche neige et..." (en français, en anglais ou en espagnol), le second n'emprunte pas cette voie de diffusion classique. Quoi qu'il en soit, ces deux virus auraient en partie semé la panique chez certains éditeurs d'antivirus, qui les ont classés en grande majorité (surtout Hybris) parmi les dix plus grands risques du moment.

L'invisible Bymer s'infiltre grâce au partage de fichier.
Variante du virus W32/Msinit, W32/HLLW/Bymer (HLLW pour High level language worm) utilise une voie de transmission peu classique. En raison d'une recrudescence du nombre de machines infectées, le SARC (centre de recherche antivirus de Symantec) n'a pas hésité à revoir sa notation du risque à la hausse. Car ce ver n'utilise pas la voie classique des messageries, mais scanne au hasard les adresses IP à travers le réseau pour s'envoyer automatiquement à tous les ordinateurs montrant un partage de fichiers activé sous Windows. Une fois transféré dans le répertoire Windows/System/ sur le disque dur "C:" par l'intermédiaire du port NetBios, le fichier wininit.exe qui constitue le corps même du virus va chercher deux autres fichiers correspondant au client du logiciel de calcul distribué Dnetc édité par l'association Distributed.Net (qui a publié une explication ici), qu'il place dans le même répertoire. Lancé à chaque reboot du système, wininit.exe appelle cet outil, qui peut être ensuite utilisé par un pirate à distance pour monopoliser les ressources de l'ordinateur infecté sur de lointaines tâches.
Selon l'éditeur finlandais F-Secure, trois variantes de ce ver existent. De son côté, McAfee a déniché un autre ver fonctionnant de façon similaire, du nom de QAZ (W32/QAZ.worm) remplaçant la fonction Notepad.exe par un cheval de Troie. Pour éviter d'être infecté par cette nouvelle catégorie de vers, il convient d'adopter une démarche proactive qui consiste à décocher l'option de partage de fichiers dans les paramètres de Windows.

Hybris préfère la mutation pour tromper l'antivirus.
Découvert en septembre 2000 aux Etats-Unis avec un taux d'infections assez faible, W32/Hybris s'est trouvé beaucoup plus largement diffusé depuis novembre en particulier à travers le continent européen, ce qui lui a également valu d'être revu à la hausse dans les classements des éditeurs. Complètement différent de Bymer quant à son mode de transmission - il arrive sous forme de pièce jointe visible dont le nom change suivant la version - ce ver présente toutefois une similarité dans sa complexité et sa capacité à se servir de certains codes malicieux reconnus.
Afin de devenir indétectable par la plupart des antivirus, Hybris se métamorphose en utilisant des plugins pour se mettre à jour. F-Secure en présente 5 sur son site, sur près de 32 identifiés selon ses différentes variantes. En parallèle, l'éditeur Trend Micro dévoile l'existence parmi les plugins de plusieurs codes malicieux auxquels peut avoir recours Hybris. En particulier, il peut s'envoyer en direct et de façon invisible, autrement que par fichier joint à un e-mail, aux PC hébergeant le fameux cheval de Troie SubSeven. Parmi ses fonctions, le ver peut aussi se doter de nouveaux plugins en allant les chercher directement sur le newsgroup alt.comp.virus.
Utilisant une méthode de chiffrement en boucle pour empêcher les antivirus de le détecter après sa mutation, Hybris se rend ainsi invisible. La meilleure méthode consiste donc aussi à adopter une attitude proactive : éviter d'ouvrir le fichier joint. En cas de fausse manipulation, la mise à jour de l'antivirus doit être déjà installée pour que celui-ci puisse le détecter avant son rechiffrement. A ce titre, rappelons une fois de plus que ces méthodes doivent être pratiquées d'une façon générale pour éviter d'être infecté par la plupart des virus existants.
[François Morel, JDNet]