Le ver spammeur Swen usurpe l'identité de Microsoft
Par JDNet Solutions (Benchmark Group)
URL : http://www.journaldunet.com/solutions/0309/030922_swen.shtml
Lancer l'impression

Lundi 22 septembre 2003

En savoir plus
Le dernier ver apparu sur Internet abuse de la crédulité des utilisateurs en se dissimulant derrière un message en provenance de Microsoft lui-même. Swen, qui se diffuse par mass-mailing et réseau P2P, exploite une faille des systèmes d'exploitation Windows découverte il y a deux ans, dont le patch avait alors été publié.
Auto-activation et vol de données
Swen a été signalé par le CSRT (Content Security Response Team) avec un niveau d'alerte de "moyen à élevé". Comme beaucoup de vers, Swen utilise une fausse identité. "Cette fois cependant, le message vérolé ressemble à s'y méprendre à un message de mise à jour de Microsoft.", précise Youenn Pibot, ingénieur avant ventes de l'éditeur de solutions anti-virus Aladdin Knowledge Systems

Ce ver spammeur utilise le carnet d'adresse Outlook des postes qu'il infecte pour se répandre parmi le réseau, et s'infiltre également sur les machines lors d'échange de données via IRC (Internet Relay Chat) et le peer-to-peer. La faille exploitée est pésente dans Internet Explorer 5.0 et concerne une balise IFRAME, permettant potentiellement à un code d'infiltrer la machine. "L'exploit permet au ver de s'autoactiver sur tous les systèmes présentant la faille d'IE 5.0, dès l'ouverture du message, sans même que l'utilisateur n'ouvre un fichier en pièce jointe", explique Youenn Pibot.
En savoir plus
1,2 million de postes infectés
Bien qu'annoncé avec un faible risque, le ver peut être relativement néfaste pour les postes infectés. "Une fois activé, Swen désactive des processus de sécurité tels que ZoneAlarm et Windows Update, modifie les clés de registre de Windows de façon à se réactiver lors du lancement de processus exécutables. Enfin le code vole des informations concernant les comptes utilisateurs, tels que le mot de passe, ce qui peut déboucher par la suite sur une prise de contrôle du système."

Swen est en outre équipé d'un compteur, qui lui permet de recenser les infections réalisées. Il semblerait que depuis l'apparition du ver, jeudi dernier, 1,2 million de postes aient déjà été infectés. Il est donc recommandé plus que jamais d'appliquer le correctif de Microsoft et de n'ouvrir aucun mail suspect.

 [Anne Vergé, JDNet]

Pour tout problème de consultation, écrivez au Webmaster
Copyrights et reproductions . Données personnelles
 Copyright 2006 Benchmark Group - 69-71 avenue Pierre Grenier
92517 Boulogne Billancourt Cedex, FRANCE