21/12/01
Virus
Maldal : attention aux voeux de fin d'année par e-mail
Voir
aussi le dossier: Virus,
l'actualité de la menace
Une bonne année serait donc une année
sans PC ? Pertinente,
la question se pose à l'occasion du signalement
d'un
virus déguisé en carte de voeu électronique.
Comme de juste, celui-ci se réplique principalement
par e-mail en profitant de la période des fêtes
pour tromper ses destinataires. Evoqué sous les
noms de Reeezak, Zacker, Kerzac ou encore Keyluc, le
ver Maldal combine un certain nombre de fonctions de
réplication et de destruction relativement efficaces.
Comme ses récents prédécesseurs,
il s'attaque aux antivirus et utilise le client de chat
mIRC ainsi que les réseaux locaux pour mieux
se répandre. Au delà du message véhiculé,
la conséquence ultime de l'infection est simple :
plus de PC.
Bonne
année et joyeux Noël !
Le ver Maldal arrive
sous la forme d'un e-mail ayant pour objet "Happy
New Year" et proposant d'ouvrir un fichier joint
intitulé Christmas.exe. Le corps du message est
rédigé comme suit :
"Hii
I can't describe
my feelings
But all i can say is Happy New Year :)
bye".
Une fois la pièce-jointe exécutée,
une carte de voeu portant la mention "From the
heart, Happy New Year !" apparaît mais le
virus s'envoie surtout par e-mail à tous les
contacts MSN Messenger et Outlook de l'utilisateur crédule.
Bien sûr, il s'installe aussi sur le PC de manière
à démarrer automatiquement à chaque
initialisation de Windows. Puis le clavier est désactivé,
la machine renommée ZaCker et la page de démarrage
d'Internet Explorer modifiée pour pointer sur
un site de l'auteur du virus. La page chargée
au lancement suivant d'Explorer contient un code JavaScript
qui installe dans le répertoire Windows un fichier
nommé "rol.vbs" et l'exécute.
Pour distraire l'utilisateur, celui-ci affiche également
une nouvelle page qui contient une animation Flash.
Adieu images, textes, musique
et vidéo...
Le programme recherche alors des noms de dossiers pouvant
contenir les principaux antivirus du marché pour
les effacer.
Mais
le code malicieux se copie également dans le
répertoire système de toutes les unités
locales ou connectées à la machine via
un réseau. Un lien est en outre ajouté
dans tous les fichiers .html, .htm et .asp afin qu'ils
colportent à leur tour le virus s'ils sont affichés
dans un navigateur. Et les fichiers .lnk, .zip, .jpg,
.jpeg, .mpg, .doc, .xls, .mdb, .txt, .ppt, .pps, .ram,
.rm, .mp3 et .swf se trouvent remplacés par une
copie du ver tout en gardant le même nom apparent...
malgré l'adjonction d'une terminaison invisible
.vbs (Visual Basic Script). L'ouverture de l'une des
pages web locales désormais infectées
provoque l'envoi à tous les destinataires du
carnet d'adresse Outlook d'un autre courrier :
son objet affiche "Very important !!!"
et le message "See this page" suivi du lien
vers la page de l'auteur précédemment
mentionnée.
Notons que la page en question délivre un prétendu
message politique qui assimile Ariel Sharon et George
Bush à des criminels de guerre. Encore une fois,
il est fort probable que cette prise de position cherche
à faire croire à une motivation "idéologique"
de l'auteur du virus, une technique qui n'est la plupart
du temps qu'un moyen supplémentaire de brouiller
les pistes.
Seul indice communiqué par les spécialistes :
le virus aurait d'abord été signalé
en Europe avant d'être repéré aux
Etats-Unis. Pour se débarrasser de l'intrus ou
lui interdire l'accès à une machine, il
est en tous les cas recommandé de mettre à
jour les logiciels antivirus et de consulter les sites
de leurs éditeurs.
|