Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Nouvelle épidémie : Swen imite Microsoft… et ca marche !

auteur de l'article Jerome Saiz , dans la rubrique Menaces

Commentaires Commentaires fermés sur Nouvelle épidémie : Swen imite Microsoft… et ca marche !

Avec plus d’un million de PC contaminés en 24 heures selon les éditeurs d’antivirus, Swen est le nouveau ver du moment. Il arrive dans un email infecté, en se faisant passer pour une mise à jour de Microsoft très bien imitée. Il profite ensuite d’une faille connue du couple Outlook / Internet Explorer pour s’exécuter automatiquement à peine le message vu. Il se propage aussi via IRC et Kazaa et neutralise certains antivirus.


Microsoft a beau expliquer sans cesse qu’il ne distribue jamais de logiciels par courrier électronique, rien n’y fait : dès qu’un ver se fait passer pour l’éditeur de Windows, il se trouve toujours quelques centaines de milliers de naïfs pour installer le prétendu « correctif » qui leur est providentiellement envoyé par email.Depuis vingt-quatre heures, le ver Swen utilise cette technique pour se propager, et ca marche : il aura déjà infecté 1,2 millions de PC selon l’éditeur d’antivirus F-Secure. A tel point que Microsoft a publié un démenti officiel, rappelant, si c’était encore nécessaire, qu’il n’envoie jamais rien par email.Mais le succès de Swen tient aussi à une foule d’autres détails qui contribuent à en faire un ver redoutable de crédibilité. Arrivant par un email signé Microsoft, le ver présente une page HTML très convaincante, aux couleurs de l’éditeur. Si le PC de sa victime est équipé du couple Outlook Express / Internet Explorer dans des versions vulnérables (Outlook 2000 pré-SR1, Outlook Express et Oulook 98 notamment), sa pièce jointe peut s’exécuter automatiquement une fois le mail affiché (tous les courriers n’utilisent pas ce piège). Sinon, il faut cliquer dessus. Swen infecte ainsi deux populations : les internautes naïfs qui auraient la chance d’avoir une version récente d’Outlook (ils cliqueront sur la pièce jointe de toute façon) et ceux plus avertis, qui n’auraient jamais exécuté le programme, mais dont Outlook est vulnérable : l’exécution sera alors automatique.Une interface très soignéeLe ver affiche alors une série de boîtes de dialogue très convaincantes, qui vont guider la victime à travers l’installation (factice) du soi-disant correctif. En fait, c’est bien sûr le ver qui est installé, et ce même si l’utilisateur clique sur « Non » lorsqu’il lui est demandé s’il veut poursuivre l’installation.Une fois installé, le ver configure son propre serveur SMTP pour envoyer ses emails. Il utilise pour cela la configuration de sa victime, qu’il trouve dans la base de registre de Windows. S’il ne parvient pas à trouver les informations nécessaires, il affichera une nouvelle boîte de dialogue, elle aussi très réaliste, qui les demandera à l’utilisateur en prétextant une erreur MAPI. Swen pourra alors s’envoyer à toutes les adresses email trouvées dans le carnet d’adresses, mais aussi celles qu’il pourra lire sur les pages HTML visitées par l’utilisateur, ainsi que sur des newgroups, auxquels ils se connecte seul !Le ver est aussi capable d’infecter les disques partagés qu’il trouve sur le réseau local. S’il détecte en outre que sa victime utilise IRC pour dialoguer, il s’enverra automatiquement à chacun de ses correspondants, en se faisant passer pour le logiciel de compression Winzip.De même, si Swen voit que sa victime utilise Kazaa, il fabriquera de faux logiciels, jeux ou vidéos pornographiques (mais vraiment infectés !) qu’il ira déposer dans le répertoire d’échange de Kazaa.Enfin, pour se protéger, le ver neutralise plusieurs antivirus s’il les découvre sur le PC.Swen fait ainsi feu de tout bois pour se propager et il exploite plutôt bien la confiance des Internautes. C’est un vrai ver « d’ingénierie sociale », comme disent les pirates : il manipule les gens plutôt que les systèmes. Sa réalisation est très convaincante, et il représente un vrai piège pour les Internautes même dégourdis, puisqu’il peut s’exécuter automatiquement. Seule parade : mettre vos antivirus et votre Outlook à jour, ou changer de client email.


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.