"Palyh": expert en camouflage à la Microsoft

"Palyh": expert en camouflage à la Microsoft

Kaspersky Labs, concepteur de logiciels de sécurité informatique, a annoncé la détection d'un nouveau ver "Palyh", se propageant par courrier électronique ou par les ressources des réseaux locaux, et se camouflant dans les messages de l'assistance technique de Microsoft. Pour le moment on a déjà enregistré une grande quantité de cas de contamination à travers le monde.

"Palyh" est transmis à l'ordinateur par le biais du courrier électronique, en tant que fichier attaché, ou par le biais du réseau local. Le ver s'active et contamine l'ordinateur à l'ouverture de ce fichier.

À l'installation "Palyh" se copie, dans le dossier Windows, sous le nom de "MSCCN32.EXE" et enregistre ce fichier dans la base du registre. Ainsi le ver est automatiquement chargé dans la mémoire de l'ordinateur dès la mise en marche du système d'exploitation. Il arrive que par erreur, "Palyh" se copie dans un autre dossier, dans ce cas le lancement automatique ne fonctionne pas.

Apres ça le ver commence à se répandre. Pour sa propagation par courrier électronique, il scanne les fichiers ayant pour extensions TXT, EML, HTML, HTM, DBX, WAB et met en relief dans ceux-ci les lignes semblables à des adresses de courrier électronique. Ensuite "Palyh" utilise le client de courrier électronique connecté au serveur SMTP pour se transmettre à ces adresses. Le ver utilise l'adresse :support@microsoft.com comme expéditeur de ces courriers et leur donne des objets, des corps et des fichiers joints différents. Il faut remarquer, que tous les fichiers portent l'extension PIF (par exemple, PASSWORD.PIF), alors qu'il s'agit de fichiers EXE ordinaires. Dans le cas présent "Palyh" se camoufle derrière cas fichiers PIF ayant rapport avec la sécurité pour piéger Windows. Comme on le sait, ce système d'exploitation traite les fichiers non selon leur extension, mais selon leur format intérieur.

Pour sa propagation à travers le réseau local, le ver scanne les autres ordinateurs du réseau et les infecte en se copiant dans le dossier Windows, lorsqu'il le trouve.

On ne peut pas qualifier "Palyh" de dangereux. Cependant il comporte une série de particularités, qui représentent un danger potentiel pour les propriétaires des ordinateurs infectés. Il dispose d'une fonction permettant d'accéder aux serveurs Web pour y télécharger des composants supplémentaires, tels que des programmes espions ou ses propres mises à jour.

L'auteur de "Palyh" a inséré dans son ver un système de déclenchement temporaire : lorsque la date du 31 mai est dépassée sur l'ordinateur infecté, le ver déconnecte automatiquement toutes les fonctions excepté le chargement des modules supplémentaires. Cette particularité condamne pratiquement "Palyh", puisque les serveurs Web, d'où il récupère les mises à jour seront fermés rapidement.

La protection contre ce ver a été ajoutée à la base de données de Kaspersky Anti-Virus. Une description plus détaillée de "Palyh" est disponible dans l'Encyclopédie Antivirale de Kaspersky Labs.

19.05.2003

Recommander cette page

Photos non contractuelles - © 1997 - 2014 Kaspersky Lab

Tous droits réservés. La meilleure des technologies en matière de prévention des cyber-risques.