|
Le virus nouveau est arrivé.
Dans
le sillage de Goner (également appelé
Pentagone),
un ver appelé Gokar (ou KarenWorm) sévit
actuellement selon des procédés de réplication
similaires à ceux de son prédécesseur.
Citant des répliques de films ou autres textes
de chansons célèbres, les objets de l'e-mail
à éviter sont multiples. Et le désormais
traditionnel fichier attaché qu'il convient de
ne pas exécuter a cette fois pour extension .pif,
.scr, .com, .exe ou .bat. Comme Goner, Gorak semble
miser sur les particuliers plus que sur les professionnels
pour se répandre.
Contamination
par les "chats" et les pages web
La nouvelle tendance des innombrables virus de type
ver qui rivalisent depuis des mois semble bien définie :
il
s'agit pour leurs auteurs d'utiliser non seulement le
courrier électronique mais également les
pages HTML et mainteant les discussions en temps réel
(IRC, ICQ, etc.) afin de contaminer un nombre maximum
d'internautes. A cet effet, l'exploitation des failles
du serveur Internet Information Server (IIS) de Microsoft
apportent aux apprentis sorciers un terrain de jeu propice.
Mais face à l'équipement toujours plus
pointu des entreprises et à la réactivité
croissante des éditeurs de solutions de sécurité,
les programmeurs de virus s'attaquent depuis peu aux
vulnérabilités des systèmes de
chat.
Si les alertes concernant Gokar ne parlent pas de réplication
via un système de messagerie instantanée,
celles-ci indiquent qu'un script est tout de même
ajouté dans le client mIRC. Objectif : ouvrir
une backdoor (porte secrète) donnant accès
à l'application et transmettre le virus à
tous les utilisateurs du canal IRC. D'autre part, l'infection
d'un serveur web par Gokar provoque la modification
de la page d'accueil, qui propose ensuite automatiquement
à chaque visiteur le téléchargement
d'un fichier infecté appelé Web.exe. Mais
bien sûr, l'infection d'un utilisateur de PC simple
déclenche avant tout l'envoi d'une copie de l'e-mail
piégé à l'ensemble des contacts
du carnet d'adresse Microsoft Outlook.
A la recherche d'une certaine
"Karen"
En cas d'ouverture
du fichier joint, le ver s'installe sous le nom de Karen.exe
dans le répertoire Windows. Une fois repéré,
il est d'ores et déjà possible de le supprimer
en exécutant un programme fourni par F-Secure.
L'alerte diffusée par cette société
indique par ailleurs que le virus tente de neutraliser
l'action de programmes antivirus ou autres firewalls
logiciels de manière à les empêcher
de fonctionner et de se mettre à jour. Quant
aux entreprises, encore une fois, elles ne devraient
être que très marginalement touchées
dans la mesure ou les solutions de sécurité
dont elles disposent auront généralement
raison du virus avant même qu'il n'arrive sur
un poste de travail.
|
