Nouvelle alerte au ver sur les PC Windows/Outlook : une souche de virus beaucoup plus destructrice qu’ILOVEYOU est sur le point de se répandre dans nos messageries. Son petit nom : NewLove.
À peine remis de l’épidémie ILOVEYOU, les systèmes informatiques risquent de souffrir à nouveau. En effet, plusieurs éditeurs de logiciels anti-virus viennent de signaler la circulation de VBS/NewLove-A, un nouveau type de ver qui utilise un mode de diffusion assez semblable à ILOVEYOU mais dont les effets risquent d’être encore plus dévastateurs... S’il parvient à se répandre.
Vendredi matin, ce virus n’avait encore été signalé à Symantec (Norton AntiVirus) que par trois entreprises (une aux ...tats-Unis et deux en Israël où 5 000 postes avaient été infectés). Les informations disponibles ne permettent cependant pas de déterminer l’origine réelle de cette nouvelle attaque.
Il se substitue aux fichiers !
Comme ILOVEYOU, ce ver a été écrit en langage Visual Basic. Il se présente sous la forme d’un fichier attaché au mail avec une extension .vbs cachée du type virus.doc.vbs. Sa caractéristique la plus visible est que les courriers par lesquels il arrive ont un sujet (Subject) de la forme "FW : xxxx.vbs(ou doc, ou htm, ou mp3, etc.)" et que le corps du message envoyé est vide. Si vous avez le malheur de lancer le fichier attaché, celui-ci va d’abord modifier les deux clefs suivantes du registre de Windows :
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion
RunServices
Il se copie ensuite dans le répertoire de Windows en prenant le nom d’un des fichiers existants dans le répertoire/windows/recent en ajoutant, à chaque génération, des commentaires aléatoires à son propre code.
Ensuite le ver se propage en utilisant - une fois de plus ! - le carnet d’adresses d’Outlook et "s’envoyant" à chacune des adresses qui y sont indiquées. Une fois installé sur le disque, le ver s’amuse à se substituer à tous les fichiers présents sur les disques locaux et réseaux. Par exemple, un fichier transfert.jpg deviendra transfert.jpg.vbs et sera en fait, non plus une image, mais le virus/ver. C’est en cela qu’il est infiniment plus destructeur qu’ILOVEYOU.
Méfiance !
Ce ver est aussi plus furtif que son prédécesseur. Ainsi il a la faculté de se modifier à chaque nouvelle génération, soit en changeant son nom, soit son code : il rend ainsi les filtres d’e-mail et les antivirus relativement inefficaces. Méfiance donc !
http://www.symantec.com/avcenter/venc/data/vbs.loveletter.fw.a.html
http://www.symantec.com/avcenter/ve...
http://vil.mcafee.com/dispVirus.asp?virus_k=98655&
http://vil.mcafee.com/dispVirus.asp...
http://www.cai.com/virusinfo/virusalert.htm#newlovea
http://www.cai.com/virusinfo/virusa...