« Nyxem.e » passe à l'attaque le 3 février 2006

« Nyxem.e » passe à l'attaque le 3 février 2006

Kaspersky Lab, concepteur de solutions de sécurité de l'information, alerte les internautes quant au caractère très dangereux du ver « Nyxem.e » («Email-Worm.Win32.Nyxem.e») récemment identifié.

Kaspersky Lab prévoit une exécution massive de ce ver le 3 février prochain. Selon les spécialistes, le nombre d'ordinateurs déjà infectés atteindrait plusieurs centaines de milliers, un chiffre qui continue de croître.

« Nyxem.e » se diffuse par Internet sous forme de pièce jointe attachée à des emails infectés, mais également par réseaux partagés. Ce programme malicieux aux fonctions destructives est programmé pour endommager toute information conservée sur l'ordinateur le 3 du mois. A cette date, 30 minutes après le démarrage de l'ordinateur, le contenu des fichiers communs est supprimé et remplacé par une suite de symboles dénués de sens.

« A en juger par le taux de présence du ver dans le trafic Internet et le nombre grandissant de plaintes de la part des utilisateurs, on estime déjà le nombre de machines infectées à des centaines de milliers dans le monde entier. Autrement dit, le 3 février peut s'avérer très critique pour les utilisateurs concernés puisque ces derniers sont menacés de perdre des données importantes. C'est pourquoi, je m'adresse à tous les internautes et leur demande de prendre les mesures nécessaires pour éviter une pandémie : n'ouvrez pas d'objets attachés à des messages non sollicités, mettez à jour les bases antivirus, puis effectuez une vérification complète de votre ordinateur » alerte Eugène Kaspersky, chef des études antivirales de Kaspersky Lab.

Le ver est un fichier exécutable Windows de 95 Ko attaché à un message dont l'objet peut varier jusqu'à 25 fois. Le corps du message et le nom de la pièce jointe présentent 20 versions différentes compliquant ainsi les procédures de détection.

Le ver est activé lorsque l'utilisateur clique sur la pièce jointe. Après son ouverture, le ver crée une archive Windows ZIP du même nom que la pièce jointe et l'exécute. Lors de son installation, le ver se copie sous plusieurs noms dans le répertoire racine et système de Windows, ainsi que dans le répertoire de démarrage. Puis, il s'enregistre dans la clé auto-run du système de registre de sorte qu'à chaque démarrage de Windows le ver soit exécuté.

« Nyxem.e » se diffuse à toutes les adresses trouvées sur l'ordinateur victime en se connectant directement avec le serveur SMTP destinataire. Parallèlement, il se copie dans les ressources du réseau partagé de la machine infectée pour augmenter son échelle de diffusion.

Le ver interrompt les processus liés à la protection antivirale de la machine, laissant cette dernière vulnérable à n'importe quelle attaque. « Nyxem.e » est également capable de télécharger de façon complètement autonome ses propres mises à jour depuis Internet.

Les procédures de détection d'« Email-Worm.Win32.Nyxem.e » ont été diffusées via les mises à jour de la base antivirus de Kaspersky Lab. Une description détaillée de « Nyxem.e » est disponible dans l'encyclopédie virale de Kaspersky Lab.

31.01.2006

Recommander cette page

Photos non contractuelles - © 1997 - 2014 Kaspersky Lab ZAO.

Tous droits réservés. La meilleure des technologies en matière de prévention des cyber-risques.