Le ver Swen fait des siennes...

Par:
fredericmazue

jeu, 30/10/2003 - 00:00

Apparu au mois de Septembre, le ver SWEN voit sa propagation se renforcer actuellement : il s’agit d’un programme malveillant qui se fait passer pour un correctif de Microsoft.

Le ver SWEN se transmet en tant que pièce jointe à un e-mail et peut se diffuser via les partages réseaux, le logiciel de Peer To Peer Kazaa et IRC.
Il peut exploiter une vulnérabilité d’Internet Explorer pour s’exécuter.

SWEN n’est pas le premier programme malveillant à se faire passer pour un email en provenance de Microsoft. Mais le corps de l’e-mail, lui, au format HTML, est particulièrement trompeur : il usurpe la mise en page et le logo de Microsoft, et propose à ses destinataires d'installer un soi-disant correctif (patch). Afin d’abuser les utilisateurs, la partie visuelle du ver est étudiée pour ressembler à un e-mail "officiel" de Microsoft et l'icône de la pièce attachée ressemble à celui d'un correctif Microsoft. A son exécution, le ver continue à tromper la méfiance en imitant un vrai programme d'installation, affichant notamment des écrans d'installation, des messages d'erreur ressemblant à ceux d'un correctif. Le sujet de l’email est variable et comporte un caractère trompeur :

- Microsoft Public Bulletin
- MS Internet Security Department
- MS Corporation Program Security Center
- Security Department
- New Network Update
etc.....

FONCTIONNEMENT DU VER :

Une fois exécuté, le ver tente d'arrêter les anti-virus, firewalls personnels et autres utilitaires de sécurité présents sur la machine pour les rendre inopérants. Pour cela, il recherche les noms de leurs processus, parmi lesquels :

ackwin32, anti-trojan, avconsol, ave32, avnt, avp, blackice, claw95, ecengine, efinet32, esafe, espwatch, findviru, fprot, lockdown2000, msconfig, nai_vs_stat, navnt, padmin, pavw, rav, regedit, rescue, safeweb, sweep, vcleaner, control, vet32, vet95, vscan, webtrap, zonealarm

Il s'ajoute ensuite au démarrage du système et peut modifier des clés du registre système.

Le ver recherche ensuite des adresses e-mail dans les carnets d'adresses de Microsoft Outlook pour s'envoyer à d'autres destinataires, en bricolant un e-mail avec un sujet et nom de fichier aléatoire, la pièce jointe étant un fichier .EXE ou .ZIP. Il tentera également de se copier dans les répertoires de partage des logiciels peer-to-peer Kazaa et IRC ( si ceux-ci sont installés sur la machine ), afin d'inciter des utilisateurs distants à télécharger le soi-disant correctif et se faire infecter à leur tour.

RAPPELS DE SECURITE :

Nous profitons de ce bulletin d'informations pour vous rappeler quelques points importants :
- Microsoft n'envoie jamais de correctifs par e-mail. Tout e-mail prétendant provenir de Microsoft vous incitant à cliquer sur une pièce jointe, est une tromperie.
- Une pièce jointe exécutable ne doit jamais être exécutée à moins de savoir pourquoi on vous l'envoie.
- Ne vous fiez pas aux adresses emails présumées être celles d’interlocuteurs que vous connaissez : des personnes que vous connaissez peuvent vous envoyer un e-mail infecté à leur insu, lorsqu’elles sont sont elles-mêmes victimes d'un ver.
- Des vulnérabilités étant périodiquement découvertes sur les plateformes Windows, il est très important d'appliquer les correctifs de sécurité en lançant la procédure Windows Update. Surtout sur les plateformes Windows NT4, 2000, XP et Server 2003.
- Ne partagez pas vos fichiers sur le réseau lorsque vous surfez sur l'Internet si vous n'avez pas de Firewall.

Information mise à disposition par TEGAM International (Éditeur de ViGuard)