Sécurité
Mimail.C : ver indiscret et usurpateur
Une variante du ver Mimail propose de fausses photos coquines zippées qui cachent un dispositif de vol de données confidentielles et une attaque en déni de service. (Mardi 4 novembre 2003)
     
En savoir plus
Deuxième métamorphose du ver de réseau Mimail initialement apparu au mois d'août dernier, Mimail C s'infiltre dans les ordinateurs via courriel, en proposant des pièces jointes zippées supposées contenir des "photos privées". Une fois en place, le ver se diffuse en cachant sa véritable adresse d'expédition et peut voler certaines informations confidentielles appartenant à l'utilisateur. Il embarque par ailleurs un mécanisme destiné à provoquer un déni de service sur le site DarkProfits.

Sa diffusion, après un pic de départ de 30 000 interceptions vendredi 31 octobre par MessageLabs, semble s'être légèrement tassée hier, lundi 3 novembre (environ 20 000 interceptions).

Envoyé le vendredi, pour mieux frapper le lundi ?
"La recrudescence d'activité constatée ayant lieu un vendredi soir, il y avait un risque non négligeable que les entreprises et administrations n'ayant pas mis en place le correctif aient subi des dégâts lundi lors de l'ouverture par leurs collaborateurs de leurs messageries électroniques", prévient-on chez Network Associates. En outre, l'utilisation du format .zip étant rarement utilisé pour les virus, l'ouverture des pièces jointes par les utilisateurs peut s'en trouver facilitée.

Le ver comporte, comme désormais beaucoup de ses semblables, son propre moteur SMTP, ce qui lui permet de s'auto-diffuser en collectant les adresses courriel présentes sur le poste infecté (notamment à partir du répertoire Program Files de Windows). Il masque ensuite le véritable expéditeur du mail qui lui sert à se propager et crée des adresses dont le domaine ( @xxxxx.com ) est identique à celui du destinataire, augmentant ainsi le degré de confusion potentielle.

Utilisateurs du système de paiement "E-Gold" : attention !
Selon les informations transmises par Kaspersky Labs, ce ver est aussi capable de causer quelques ennuis aux utilisateurs du système de paiement "E-Gold". Il suit en effet l'activité des applications "E-Gold" installées sur l'ordinateur infecté, y récupère les données confidentielles puis les envoie à des adresses anonymes appartenant à l'auteur du ver (omnibbb@gmx.net, drbz@mail15.com, omnibcd@gmx.net et kxva@mail15.com).

Une attaque en déni de service est par ailleurs programmée contre les adresses URL suivantes (sites humoristiques) : darkprofits.net; www.darkprofits.net, darkprofits.com et www.darkprofits.com.

Carte d'identité du ver Mimail
Sujet : Re[2]: our private photos (+ lettres aléatoires)
Pièce jointe : PHOTOS.ZIP qui contient PHOTOS.JPG.EXE
Taille de la pièce jointe : 12 832 bytes
Corps du message :
Hello Dear!,
Finally, i've found possibility to right u, my lovely girl :)
All our photos which i've made at the beach (even when u're withou ur bh:))
photos are great! This evening i'll come and we'll make the best SEX :)
Right now enjoy the photos.
Kiss, James.
Systèmes touchés :
Windows 2000, 95, 98, Me, NT, XP, Windows Server 2003

Comment s'en débarraser :
- Symantec (en français)
- Network Associates (en anglais)
- Trend Micro (en anglais)

[Fabrice DEBLOCK, JDN Solutions]
 
Accueil | Haut de page
 
 

  Nouvelles offres d'emploi   sur Emploi Center
Auralog - Tellmemore | Publicis Modem | L'Internaute / Journal du Net / Copainsdavant | Isobar | MEDIASTAY

Voir un exemple

Voir un exemple

Voir un exemple

Voir un exemple

Voir un exemple

Toutes nos newsletters