Le
ver spammeur Swen usurpe l'identité de Microsoft
Ce nouveau code malicieux se propage sous la forme d'une lettre en provenance, soi-disant, de l'éditeur, une contrefaçon particulièrement soignée. (Lundi 22 septembre 2003)
Le dernier ver apparu sur
Internet abuse de la crédulité des utilisateurs
en se dissimulant derrière un message en provenance
de Microsoft lui-même. Swen, qui se diffuse par
mass-mailing et réseau P2P, exploite
une faille des systèmes d'exploitation Windows
découverte il y a deux ans, dont le patch avait
alors été publié.
Auto-activation
et vol de données
Swen a été signalé par le CSRT (Content Security Response
Team) avec un niveau d'alerte de "moyen à élevé".
Comme beaucoup de vers, Swen utilise une fausse identité. "Cette fois
cependant, le message vérolé ressemble à s'y méprendre
à un message de mise à jour de Microsoft.", précise
Youenn Pibot, ingénieur avant ventes de l'éditeur de solutions anti-virus
Aladdin Knowledge Systems
Ce
ver spammeur utilise le carnet d'adresse Outlook des postes
qu'il infecte pour se répandre parmi le réseau,
et s'infiltre également sur les machines lors d'échange
de données via IRC (Internet Relay Chat)
et le peer-to-peer. La faille exploitée
est présente dans le navigateur Internet Explorer
et concerne une balise IFRAME, permettant potentiellement
à un code d'infiltrer la machine. "L'exploit
permet au ver de s'autoactiver sur tous les systèmes
présentant la faille d'IE, dès l'ouverture
du message, sans même que l'utilisateur n'ouvre
un fichier en pièce jointe", explique Youenn
Pibot.
1,2 million de postes infectés
Bien qu'annoncé avec un risque modéré par la plupart des
éditeurs de solutions anti-virus, le ver peut être relativement néfaste
pour les postes infectés. "Une fois activé, Swen désactive
des processus de sécurité tels que ZoneAlarm et Windows Update,
modifie les clés de registre de Windows de façon à se réactiver
lors du lancement de processus exécutables. Enfin le code vole des informations
concernant les comptes utilisateurs, tels que le mot de passe, ce qui peut déboucher
par la suite sur une prise de contrôle du système."
Swen est en outre équipé
d'un compteur, qui lui permet de recenser les infections
réalisées. Il semblerait que depuis l'apparition
du ver, jeudi dernier, 1,2 million de postes aient déjà
été infectés. Il est donc recommandé
plus que jamais d'appliquer le correctif de Microsoft
et de n'ouvrir aucun mail suspect.