Le virus Nyxem.E se propage discrètement avant d'attaquer le 3 février

Par Tom Espiner
ZDNet UK
Vendredi 27 janvier 2006

Sécurité - Ce nouveau parasite aurait déjà infecté plus de 8 millions de PC Windows dans le monde. En sommeil dans le système d’exploitation, il est programmé pour supprimer les documents Word, Excel, PowerPoint ou PDF.

La dangereuse propagation du virus ver Nyxem.E (alias Kama Sutra, W32/MyWife.d@MM, Email-Worm, W32.Blackmal.E@mm) préoccupe les éditeurs de logiciels antivirus et experts en sécurité. Pour l'instant, ce nouveau parasite se cache sur les systèmes Windows infectés en attendant le 3 février pour lancer son attaque.

Découvert le 16 janvier, il aurait déjà réussi à contaminer plusieurs millions de PC selon l'éditeur américain de solutions de sécurité Ironport. Le compteur web utilisé par le ver lui-même affichait ce vendredi 27 janvier à midi plus de 8.573.000 infections, en augmentation constante.

L'éditeur antivirus F-Secure rapporte que Nyxem.E occupe le haut du tableau de ses statistiques virales, puisqu'il représente 21,7% des infections signalées. Il lui attribue le haut niveau de dangerosité de 2, soit l'avant-dernier sur son échelle.

Un "mass mailler" classique

Nyxem est un mass mailler classique qui arrive principalement sur le système sous la forme d'un e-mail piégé, dont l'objet du message, en anglais, est volontairement racoleur: "Re : Sex Video" ou "School girl fantasies gone bad". Le virus est caché dans la pièce jointe qui se fait passer pour une photo au format .Pif d'un poids de 95 Ko. En fait il s'agit d'un code malveillant compressé, qui s'active dès que l'utilisateur ouvre la pièce jointe.

Le virus va alors scanner les adresses e-mails présentes sur le système afin de s'y renvoyer. Il tentera également de se copier au "voisinage réseau". «Nyxem est indiscutablement malveillant. Il peut non seulement être acheminé via la messagerie électronique, mais également se propager comme un ver réseau. Il recherche d'autres PC d'un réseau local pour les infecter et se propager aux autres ordinateurs, de manière à infecter autant d'hôtes que possible», explique Jason Steer d'Ironport.

Nyxem.E modifie également les paramètres du système pour se lancer lors de chaque démarrage, essaie aussi de désactiver les logiciels antivirus. Tapi au coeur du système, il n'a plus qu'à attendre le 3 février pour lancer son attaque destructive: il est programmé pour supprimer tous les documents Word, Excel, PowerPoint ou PDF. Ironport prévient également qu'il risque de ralentir les réseaux avec l'envoi intempestif d'e-mails qu'il génère.

Comme d'habitude, les experts en sécurité recommandent aux internautes et aux utilisateurs en entreprises de ne pas ouvrir de messages électroniques douteux et de mettre à jour leur antivirus.

Source : http://www.zdnet.fr/actualites/informat ... 459,00.htm

Le virus de masse appelé « Blackmal.E » ou « Nyxem.E » pourrait avoir infecté près de 500 000 cibles lors de son premier week-end de propagation. Son premier vecteur de diffusion est les pièces jointes attachées aux courriers électroniques, mais il peut également « voyager » via vos partages réseau.

Généralement, le mail comporte un objet aléatoire, tel que « School girl fantasies gone bad », « Re : Sex Video », « A Great Video », « Hot Movie » ou encore « Fwd : Photo » et sûrement bien d'autres.

Autant d’incitations à ouvrir cette pièce jointe à l’extension aléatoire, ce genre de « sujets » devrait tout de même vous inquiéter, c'est une bonne habitude à prendre. La pièce jointe incriminée avoisine la taille des 100 ko et se présente sous la forme d'un document multimédia à visualiser (photo, vidéo …).

Ce virus fait partie de la catégorie des vers et modifie la base de registre de votre système après avoir tenté de désactiver les antivirus que vous auriez pu installer sur votre machine ou tout autre système de sécurité. Il procède ensuite à un envoi massif automatisé à toutes les adresses email trouvées en scannant votre disque dur.

Son but est de supprimer certains types de fichiers le 3 de chaque mois, vérification de la véracité de cette information dès le 3 février de l'année courante pour ceux qui n'auront pas appliqué les solutions proposées.

Une fois exécuté, le ver se copie dans le répertoire « Windows » sous l’appellation « Rundll16.exe », ainsi que dans le répertoire « System » sous « scanregw.exe », « Winzip.exe », « Update.exe », « WINZIP_TMP.EXE », « SAMPLE.ZIP » et « New WinZip File.exe ».

Fonctionnalité plutôt insolite, le virus incrémenterait un compteur, hébergé par le fournisseur d'accès RCN pour chaque nouvelle machine infectée. Ce compteur est accessible via l'url "le lien http : cliquez ici il aurait apparemment déjà dépassé les 5 millions de machines, comme a pu le constater l’éditeur de solutions antivirales F-Secure ; actualisez la page, vous verrez c'est assez impressionant.

Ces chiffres sont cependant à interpréter avec grande précaution, puisqu’il existe de fortes chances que le compteur ait commencé au dessus de zéro et prenne en compte tous les navigateurs visitant la page en question, mélangeant ainsi de simples visiteurs et des machines réellement victimes du virus.

Toutefois, même si ce chiffre s’avérait exact, ce virus n’a finalement affecté, et c'est relatif, que « peu » de machines par rapport à des virus comme MSBlast ou Blaster, qui avaient touché environ 25 millions d’ordinateurs, selon les chiffres officiels de Microsoft.

Les ordinateurs qui resteront infectés au 3 février verront une dizaine de types de données différentes purement et simplement supprimées de leur disque dur, parmi lesquelles tous les fichiers Word, Excel, Powerpoint ou PDF. Cependant, on peut envisager un parallèle entre ce ver et le virus Sober, censé télécharger des fonctions supplémentaires le 5 janvier de cette année, et qui en réalité ne s’était pas exécuté.

Tous les systèmes d’exploitation Windows sont concernés (95, 98, Me, NT, 2000, 2003). Pour éviter tout désagrément, nous vous conseillons d’abord de mettre à jour votre antivirus ou d'en installer un au plus vite et de limiter ensuite l'accès à vos partages de ressource.

En cas d’infection, il est indispensable de sécuriser votre ordinateur et d’installer ensuite l’utilitaire de désinfection de Blackmal.E créé par Symantec à cette adresse : le lien http :[cliquer ici]

Ndlr : il ne serait pas surprenant de voir combiner une faille de type image comme les récentes vulnérabilités de « WMF » avec un ver « leurre » du type de Nyxem.E, où le vecteur d'initialisation serait l'image du compteur en elle-même et sa propagation s'effectuerait via la couverture médiatique (Social Engineering) du ver et la visite par un simple navigateur de la page. C'est vicieux mais réalisable !

Source : http://www.secuobs.com/news/26012006-nyxem_E.shtml

Il y a toujours des gens pour emmerder les autres...