Kaspersky Labs, concepteur de logiciels de sécurité informatique, annonce la découverte d'une nouvelle modification du ver "Mimail" : "Mimail.Q". Cette nouvelle version, qui se caractérise par une protection cryptographique contre les antivirus, est à l'origine de quelques cas isolés d'infection. Toutefois, Kaspersky Labs prévoit une extension de l'épidémie dans les prochains jours et recommande vivement à tous ses utilisateurs de procéder à la mise à jour de leur bases antivirus.

"Mimail.Q" se propage via le courrier électronique. On a recensé quelques dizaines de variantes du corps du message, tandis que le nom de la pièce-jointe est toujours aléatoire. Le ver est constitué de deux parties : un "injecteur" (module d'installation de la partie principale) et un porteur (partie principale).

Lorsque l'utilisateur commet l'imprudence d'exécuter la pièce-jointe du message infecté, l'"injecteur" affiche à l'écran une fenêtre reprenant un faux message d'erreur, il se copie dans le répertoire système de Windows sous le nom SYS32.EXE et s'enregistre dans la clé de lancement automatique de la base du registre. Ensuite, il décompresse la partie principale du ver (le fichier OUTLOOK.EXE) et le lance.

La principale différence de "Mimail.Q" réside dans son utilisation d'algorithme de cryptographie (polymorphe) pour éviter d'être repéré par les logiciels antivirus. Chaque fois que l'ordinateur est redémarré, le ver modifie la clé de chiffrement si bien que les copies du code malicieux qui sont diffusées sont chaque fois différentes. Le logiciel antivirus doit être muni de la fonction de décodage des fichiers.

La partie principale du ver réalise immédiatement plusieurs tâches. Tout d'abord, elle procède à la diffusion des copies de "Mimail.Q". Pour ce faire, le ver analyse les différents disques de l'ordinateur et en extrait les adresses électroniques. Il utilise ensuite son système de courrier intégré pour envoyer les messages infectés aux adresses ainsi obtenues.

Ensuite, la partie principale du ver exploite le port 6667, 3000, 80, 1433 et 1434 pour donner à l'auteur accès à l'ordinateur infecté. C'est par ces ports que le ver reçoit les commandes de ses "maîtres" et qu'il envoie les données relatives à l'exécution de ces commandes vers des boîtes aux lettres anonymes créées sur des sites de messagerie électronique publics.

Troisièmement, et tout comme les versions antérieures, "Mimail.Q" recueille les informations relatives aux comptes des utilisateurs des systèmes de paiement électronique PayPal et E-Gold et envoie le nom d'utilisateur et le mot de passe vers les boîtes aux lettres mentionnées plus haut.

Enfin, signalons que le code du ver contient une menace à l'adresse des opérateurs de service de messagerie électronique publique qui envisageraient la fermeture des boîtes aux lettres utilisées par "Mimail.Q":

*** GLOBAL WARNING: if any free email company or hosting company will close/filter my email/site accounts, it will be DDoS'ed in next version. WARNING: centrum.cz will be DDoS'ed in next versions, coz they have closed my mimail-email account. Who next? ***

La protection contre ce virus à l'aide du décodage a été ajoutée à la base de données de Kaspersky Anti-Virus.

Vous trouverez de plus amples informations sur ce code malicieux dans l'Encyclopédie des virus de Kaspersky