Le ver "Mimail" attaque par une ancienne faille.

04 août 2003
Actualités Virus

Kaspersky Labs, concepteur de logiciels de sécurité informatique, a annoncé la découverte du ver "Mimail". L'assistance technique de la société a déjà reçu de nombreux messages concernant cette contamination.

"Mimail" est un ver se transmettant par courrier électronique, en tant que pièce jointe. L'adresse de l'expéditeur des courriers infectés est falsifiée (ce qui rend très difficile la recherche du vrai coupable). Ces lettres ont la forme suivante :

Sujet: your account [rnd]
(où [rnd] est un chiffre aléatoire)

Texte: Hello there,

I would like to inform you about important information regarding your email address. This email address will be expiring. Please read attachment for details.

--- Best regards, Administrator

Pièce jointe : message.zip

De la même façon que "Klez" ou "Lentin" ("Yaha"), "Mimail" profite d'une faille du système de sécurité dans Internet Explorer, pour infecter les ordinateurs. Le fichier archivé joint MESSAGE.ZIP contient le fichier MESSAGE.HTML. Si l'utilisateur ouvre cette archive, par imprudence, un script Java intégré lance le fichier infecté FOO.EXE et l'installe de façon imperceptible sur le disque dur, profitant de la faille "Exploit. SelfExecHTML". À son tour, il se copie dans Windows sous le nom de VIDEODRV.EXE puis inscrit cet exécutable dans la section de démarrage automatique de la base du registre de Windows (de façon à se lancer à chaque démarrage du système d'exploitation). "Mimail" crée aussi une série de fichiers supplémentaires dans Windows : EXE.TMP (le ver dans un fichier au format HTML) ou ZIP.TMP (le ver dans une archive au format ZIP).

La faille "Exploit. SelfExecHTML" a été découverte en mars 2002 et Microsoft a déjà produit un correctif pour Internet Explorer.Pour se protéger contre les autres programmes malfaisants utilisant cette faille, Kaspersky Labs recommande d'installer ce correctif le plus rapidement possible.

"La grande expansion de "Mimail" rappelle, une fois de plus, aux utilisateurs, que les programmes malfaisants peuvent se trouver ailleurs que dans des fichiers EXE. Avant le lancement de n'importe quel fichier récupéré sur Internet, il est nécessaire de le contrôler." a commenté Eugène Kaspersky, le chef des études antivirales de Kaspersky Labs.

Pour sa diffusion ultérieure par courrier électronique, "Mimail" scanne le disque dur pour y récupérer des adresses, puis enregistre ces adresses dans le fichier EML.TMP de Windows. Dès lors, le ver, utilisant la connexion directe au serveur de courrier électronique, se propage vers ces adresses.

On peut raisonnablement penser que "Mimail" est l'?uvre de créateurs russes. Le ver utilise les mêmes techniques et prend la même forme que le cheval de Troie d'origine russe "StartPage" "Cette fois, nous avons de la chance, car "Mimail" à des effets secondaires inoffensifs. Son danger vient du fait qu'il met en valeur une faille d'Internet Explorer, et, ça peut donner l'exemple à d'autres créateurs de virus." a complété Eugène Kaspersky.

La protection contre ce ver a été ajoutée à la base de données de Kaspersky Anti-Virus.Une description plus détaillée de "Mimail" est disponible dans "l'Encyclopédie Antivirale de Kaspersky Labs "

  PARTAGER