 |
|
|
| |
|
|
| Sommaire Sécurité |
|
| Stration et Heartworm : deux nouveaux vers s'infiltrent par la messagerie |
| Ces deux codes malveillants sous Windows se répandent par le biais des messageries, à travers l'email ou les messages instantanés des utilisateurs de MSN Messenger.
(28/09/2006) |
|
Deux vers sévissent actuellement sur Internet et usent des systèmes de messagerie pour se propager et abuser les utilisateurs. C'est tout d'abord Stration-AN, une nouvelle déclinaison du ver Stration. Selon l'éditeur de solutions de sécurité, Sophos, l'auteur de ce dernier a intensifié sa distribution depuis le début de la semaine en usant de différents biais.
Le créateur de ce code malveillant cultive d'ailleurs une certaine ironie. Celui-ci indique, dans le message électronique qu'il adresse aux internautes, que leur ordinateur a été contaminé. Inutile pour eux de paniquer puisque l'expéditeur a pris soin de veiller à leur faire parvenir un outil de désinfection.
Le procédé n'a cependant rien de bien original. En jouant sur la peur de l'utilisateur, on escompte qu'il abandonnera toute prudence pour ouvrir la pièce jointe à l'email et provoquera lui-même la contamination du poste de travail qu'il souhaitait au contraire protéger. Le programme malicieux se présente ainsi sous la forme d'un fichier zippé.
Tout comme d'autres vers, Stration dispose de son propre moteur d'envoi de courriels dont il usera pour s'expédier automatiquement aux adresses inscrites dans le carnet de contacts Outlook. Il pourra également falsifier l'adresse électronique de l'expéditeur et télécharger du code depuis Internet comme le précise Sophos sur sa fiche signalétique.
Et si ce ver connaît actuellement un regain d'activité, ce n'est en rien étranger à l'agitation récente autour d'Internet Explorer. Le navigateur de Microsoft souffre en effet d'une faille critique, pour laquelle nombre d'experts encourageaient Microsoft à publier sans tarder un correctif. Ce que l'éditeur a fait en bousculant son calendrier habituel de publication des bulletins de sécurité (lire la brève du 27/09/2006).
| La messagerie instantanée, un support montant de propagation de codes |
Le ver Stration espère donc sans doute se faire passer pour un correctif légitime de Microsoft. Ce n'est toutefois pas le premier programme malveillant à user de ce procédé pour se répandre. Les correctifs doivent par conséquent être téléchargés systématiquement depuis le site de l'éditeur ou grâce à la mise à jour automatique de Windows.
Les messageries électroniques ne sont pas non plus épargnées. Et c'est cette fois Windows Live Messenger, le logiciel de messagerie instantanée de Microsoft qui en fait les frais. Le ver baptisé W32.heartworm se propage sur le réseau MSN grâce à un lien hypertexte conduisant à un site piégé.
Le message indique aux utilisateurs de la messagerie qu'ils sont les heureux destinataires d'une carte de vux électronique. Pour la consulter, rien de plus simple. Il leur suffit en effet d'ouvrir une url. D'après FaceTime Security, spécialisé dans la sécurité des messageries instantanées (IM), l'url conduit à une image représentant un cur et accompagnée d'un poème en portugais.
Que ceux qui ne maîtrisent pas la langue se consolent. L'ouverture de ce lien s'effectue parallèlement à l'installation de codes sur le poste de travail, destinés à enregistrer et dérober des données personnelles, notamment financières.
Avec le développement considérable de l'usage des messageries instantanées, ces dernières sont devenues des supports de propagation pour les auteurs de virus, au même titre que l'email. Une semaine plus tôt, c'était la messagerie d'AOL qui était visée. W32.pipeline, un ver, ouvrait une porte dérobée pour des rootkits et des chevaux de Troie.
|
| |
| |
|
|
|
|
|
|
Dossier 