Un nouveau ver de réseau déclenche une nouvelle épidémie !

18 sept. 2003
Actualités Virus

Kaspersky Labs, concepteur de logiciels de sécurité informatique, annonce la découverte du ver de réseau I-Worm.Swen. Ce programme malfaisant se propage via le courrier électronique, le système d'échange de fichiers Kazaa et les canaux IRC.

Les messages infectés proviennent soi-disant de différents services de la société Microsoft tels que MS Technical Assistance (Assistance technique MS), Microsoft Internet Security Section (Division de sécurité Internet de Microsoft) etc. Le message invite l'utilisateur à installer 'un correctif spécial pour Microsoft' envoyé en pièce jointe.

Comme bon nombre de ses 'illustres' prédécesseurs, en particulier le programme malfaisant Klez, ce ver exploite une faille du système de sécurité d'Internet Explorer, découverte en mars 2001, pour se propager. Ainsi, dès qu'il se trouve sur un ordinateur sans défenses, Swen peut s'auto-exécuter, sans l'intervention de l'utilisateur.

Ce nouveau ver est programmé avec Visual C++ et sa taille est d'environ 107k. L'activation du ver se produit dans deux cas : lorsque l'utilisateur exécute le fichier infecté ou lorsque la faille Iframe.FileDownload du programme de messagerie n'a pas été corrigée. Ensuite, le ver s'installe dans le système et entame sa propagation.

Lors du premier lancement, il se peut que le ver entraîne l'affichage à l'écran d'une fenêtre, dont l'aspect rappelle celui de la boîte de dialogue d'installation d'un correctif, avec le titre 'Microsoft Internet Update Pack'. A ce moment, le code malicieux bloque le fonctionnement des différents programmes anti-virus et pare-feu. Ensuite I-Worm.Swen analyse le système de fichiers de l'ordinateur infecté afin de trouver toutes les adresses électroniques contenues dans les fichiers. La propagation du ver se produit par l'envoi du message à toutes ces adresses via une connexion directe au serveur SMTP. Les messages infectés sont au format HTLM et contiennent le fichier qui renferme le ver. Dans certains cas, le ver peut envoyer sa copie sous la forme d'un fichier archivé (zip ou rar).

Dans le cas de la propagation via le système d'échange de fichiers Kazaa, le ver se copie sous différents noms dans le catalogue de fichiers de Kazaa Lite. Il crée également, dans le catalogue temporaire de Windows, un sous-catalogue avec un nom aléatoire dans lequel il insère quelques-unes unes de ses copies (elles aussi avec des noms différents). Ce catalogue apparaît dans la base du registre de Windows comme étant la source pour le système d'échange de fichiers. Autrement dit, ces fichiers infectés peuvent être téléchargés par les autres utilisateurs du réseau Kazaa.

Concernant la propagation via les canaux IRC, le ver recherche dans l'ordinateur la présence du client mIRC et, s'il le trouve, il modifie le fichier script.ini en y intégrant ses procédures de diffusion. Ensuite, ce fichier-script envoie le fichier infecté depuis le catalogue Windows à tous ceux qui se connectent aux canaux IRC infectés.

Selon les informations des spécialistes de Kaspersky Labs, des dizaines de milliers d'ordinateurs, à travers le monde, seraient déjà infectés à l'heure qu'il est. Leur nombre est en augmentation constante.

La protection contre ce virus a déjà été ajoutée à la base de données de Kaspersky Anti-Virus.

  PARTAGER