Une variante du ver Mimail propose de fausses photos coquines zippées qui cachent un dispositif de vol de données confidentielles et une attaque en déni de service. (Mardi 4 novembre 2003)
Deuxième métamorphose
du ver de réseau Mimail initialement apparu au
mois d'août dernier, Mimail C s'infiltre dans les
ordinateurs via courriel, en proposant des pièces
jointes zippées supposées contenir des "photos
privées". Une fois en place, le ver se diffuse
en cachant sa véritable adresse d'expédition
et peut voler certaines informations confidentielles appartenant
à l'utilisateur. Il embarque par ailleurs un mécanisme
destiné à provoquer un déni de service
sur le site DarkProfits.
Sa diffusion, après un pic de départ de
30 000 interceptions vendredi 31 octobre par MessageLabs,
semble s'être légèrement tassée
hier, lundi 3 novembre (environ 20 000 interceptions).
Envoyé
le vendredi, pour mieux frapper le lundi ? "La recrudescence d'activité constatée
ayant lieu un vendredi soir, il y avait un risque non négligeable que les entreprises
et administrations n'ayant pas mis en place le correctif aient subi des dégâts
lundi lors de l'ouverture par leurs collaborateurs de leurs messageries électroniques",
prévient-on chez Network Associates. En outre, l'utilisation du format
.zip étant rarement utilisé pour les virus, l'ouverture des pièces
jointes par les utilisateurs peut s'en trouver facilitée.
Le ver comporte, comme désormais beaucoup de ses
semblables, son propre moteur SMTP, ce qui lui permet
de s'auto-diffuser en collectant les adresses courriel
présentes sur le poste infecté (notamment
à partir du répertoire Program Files de
Windows). Il masque ensuite le véritable expéditeur
du mail qui lui sert à se propager et crée
des adresses dont le domaine ( @xxxxx.com ) est identique
à celui du destinataire, augmentant ainsi le degré
de confusion potentielle.
Utilisateurs
du système de paiement "E-Gold" : attention ! Selon les informations
transmises par Kaspersky Labs, ce ver est aussi capable
de causer quelques ennuis aux utilisateurs du système
de paiement "E-Gold". Il suit en effet l'activité des
applications "E-Gold" installées sur l'ordinateur infecté,
y récupère les données confidentielles puis les envoie
à des adresses anonymes appartenant à l'auteur du ver
(omnibbb@gmx.net, drbz@mail15.com, omnibcd@gmx.net et
kxva@mail15.com).
Une attaque en déni de service est par ailleurs
programmée contre les adresses URL suivantes (sites
humoristiques) : darkprofits.net; www.darkprofits.net,
darkprofits.com et www.darkprofits.com.
Carte
d'identité du ver Mimail
Sujet : Re[2]: our private
photos (+ lettres aléatoires) Pièce jointe : PHOTOS.ZIP qui contient PHOTOS.JPG.EXE Taille de la pièce jointe : 12 832 bytes Corps du message :
Hello Dear!,
Finally, i've found possibility to right u, my lovely girl :)
All our photos which i've made at the beach (even when u're withou ur bh:))
photos are great! This evening i'll come and we'll make the best SEX :)
Right now enjoy the photos.
Kiss, James. Systèmes touchés :
Windows 2000, 95, 98, Me, NT, XP, Windows Server 2003