InformatiquePiratages

Le Ver here you have un piège qui fonctionne toujours

Un virus informatique se propage rapidement via des e.mails contenant un lien qui pointe vers un fichier infecté, le virus désactive les antivirus et utilise le carnet d’adresses de la victime pour s’autorépliquer.

Les vieilles recettes sont les meilleures.

L’adage se vérifie une fois encore avec une nouvelle attaque à grande échelle qui propage un virus via des mails piégés, il se présente sous la forme d’un message électronique intitulé « Here you Have » ou « Just for You » provenant d’un contact familier.

Il propose un lien vers un document .PDF qui pointe en réalité vers un fichier exécutable infecté type « .scr » qui est utilisé par Windows pour afficher les écrans de veille.

Si l’utilisateur clique sur le lien, il libére l’installation d’un logiciel malveillant (Malwares) qui va désactiver l’antivirus et se servir du carnet d’adresses de sa victime pour se propager.

Les principaux éditeurs d’antivirus ont publié une alerte.

Lié à un mouvement djihadiste ?

Des milliers d’ordinateurs auraient déjà été touchés et notamment de grandes entreprises et institutions américaines comme
ABC
Google
Coca-Cola
Comcast
Et la NASA.

[quote]Sean-Paul Correll, chercheur pour Panda Security dit avoir remonté la source du ver dont la première occurrence daterait de mi-août.[/quote]

Correll affirme qu’il a été initialement propagé par un hacker libyen opérant sous le nom d' »iraq_resistance » qui serait lié au mouvement djihadiste (Brigades of Tariq ibn Ziyad).

Graham Cluley de chez Sophos rapporte sur son blog que des scammers exploitent déjà l’actualité autour de « Here you Have » pour poster de fausses vidéos sur YouTube, qui pointent en fait vers une page invitant à répondre à un sondage.

[quote]Pour sa part, microsoft, sur son blog officiel, a confirmé que le ver s’est largement et prioritairement propagé dans le milieu des entreprises.[/quote]

Le ver crée les fichiers suivants:

[quote]/WINDOWS/autorun.inf
/WINDOWS/autorun2.inf
/WINDOWS/csrss.exe
/WINDOWS/ff.exe
/WINDOWS/gc.exe
/WINDOWS/hst.iq
/WINDOWS/ie.exe
/WINDOWS/im.exe
/WINDOWS/op.exe
/WINDOWS/pspv.exe
/WINDOWS/rd.exe
/WINDOWS/re.exe
/WINDOWS/re.iq
/WINDOWS/system/Administrator CV 2010.exe
/WINDOWS/system/updates.exe
/WINDOWS/system32/SendEmail.dll
/WINDOWS/system32/wbem/Logs/wbemcore.lo_
/WINDOWS/system32/wbem/Logs/wbemprox.log
/WINDOWS/tryme1.exe
/WINDOWS/vb.vbs
/autorun.inf
/open.exe[/quote]

Se connecte à:

[quote]members.multimania.co.uk/yahoophoto/tryme.iq
members.multimania.co.uk/yahoophoto/ff.iq
members.multimania.co.uk/yahoophoto/gc.iq
members.multimania.co.uk/yahoophoto/ie.iq
members.multimania.co.uk/yahoophoto/im.iq
members.multimania.co.uk/yahoophoto/m.iq
members.multimania.co.uk/yahoophoto/op.iq
members.multimania.co.uk/yahoophoto/pspv.iq
members.multimania.co.uk/yahoophoto/rd.iq
members.multimania.co.uk/yahoophoto/w.iq
members.multimania.co.uk/yahoophoto/SendEmail.iq
members.multimania.co.uk/yahoophoto/hst.iq
members.multimania.co.uk/yahoophoto/re.iq[/quote]

Clic pour plus d’infos (anglais)

secunews.org: Conseille à tous les utilisateurs de s’assurer qu’ils disposent sur leur ordinateur d’un antivirus configuré pour se mettre à jour automatiquement et fréquemment, des derniers correctifs de sécurité diffusés,d’un logiciel pare-feu,éviter le plus possible les sites Web inconnus ou peu recommandables et de vous méfiez des mails reçus de provenance inconnue afin d’empêcher que vos PC ou vos appareils mobile ne deviennent un élément d’un réseau de zombie (botnet)