(Mise à jour) Sircam attaque

S'abonner :

Newsletters

Magazines

01men.

[ SÉCURITÉ ]
(Mise à jour) Sircam attaque
Un nouveau danger se répand depuis quelques jours sur le Net comme une traînée de poudre. Baptisé Sircam, il ne se contente pas d'encombrer les boîtes aux lettres à la manière des vers : il peut aussi détruire un disque dur comme un virus.

Karine Solovieff , 01net., le 24/07/2001 à 18h18

Mise à jour

Depuis la publication de notre article, les éditeurs de virus McAfee, Trend Micro , F-Secure , Symantec ont passé le virus Sircam en niveau de risque maximal . Sa propagation est de plus grande ampleur qu'ils ne l'avaient prédit. Ainsi, en France, Trend Micro a reçu une centaine d'appels pour des demandes d'informations.

D'après les témoignages reçus par 01net . (et les dizaines d'e-mails infectés également), le nombre d'utilisateurs français touchés est important.

Seuls les utilisateurs de Windows peuvent être infectés et propager le virus, quelle que soit la version linguistique de leur système d'exploitation. Cependant, ils peuvent submerger d'e-mails n'importe quel utilisateur d'un autre système d'exploitation, Mac ou Linux par exemple, et remplir les boîtes aux lettres de documents plus ou moins confidentiels. Rappelons enfin que Sircam ne se propage pas uniquement par le logiciel Outlook.

Pour empêcher Sircam de se répandre, une seule solution : télécharger l'une des mises à jour des antivirus capables de lutter contre Sircam et disponibles chez chacun des éditeurs.

Première publication le 23 juillet 2001

Décidément, les pirates ne prennent pas de vacances. Leur dernière création s'appelle Sircam, et elle est qualifiée de " dangereuse et difficile à contenir " par l'éditeur d'antivirus Symantec. Sa naissance remonte à mardi dernier, mais ce n'est que depuis vendredi que Sircam pollue à grande échelle le Net, la France y compris.

Sa particularité est d'être à la fois un ver qui se diffuse en pièce jointe à un e-mail, et un virus, c'est-à-dire un programme qui s'attaque à l'ordinateur, et ne fait pas que passer comme Melissa ou Anna Kournikova . Cerise sur le gâteau : il n'est pas réservé aux utilisateurs d'Outlook.

Sircam arrive dans un e-mail dont le texte est soit en anglais, soit en espagnol. L'une des variantes de ce message est : " Hi ! How are you ? I send you this file in order to have your advice. See you later. Thanks. "

L'expéditeur est quelqu'un de connu du destinataire. Un fichier attaché accompagne le message, et le nom du fichier apparaît comme sujet de l'e-mail.

La pièce jointe est une combinaison du virus Sircam et d'un document que ce dernier a trouvé dans le dossier Mes documents de Windows.

Lorsque l'on ouvre cette pièce jointe, Sircam est alors déclenché. Pour se répandre de messagerie en messagerie, il se crée son propre carnet d'adresses en récupérant les noms dans le carnet d'adresses de Windows, et dans le cache d'Internet Explorer. Il fait ensuite l'inventaire des fichiers se terminant en .zip, .doc, .jpg, et., situés dans le dossier My Documents (Mes documents). Enfin, il prend une des adresses et un des documents au hasard et, utilisant son propre système de messagerie, envoie un e-mail infecté.

Mais ce n'est pas tout. Un ordinateur contaminé par Sircam sur trente-trois risque de voir tout son espace libre sur le disque dur rempli par un fichier créé par le virus. Enfin, le 16 octobre, un PC sur vingt pourrait être victime de la destruction de tous ses fichiers ; néanmoins, seules sont visées les machines qui utilisent un format de date à l'européenne : J/M/A.

Lorsqu'il est apparu, Sircam a laissé perplexe les différents éditeurs d'antivirus, qui ont mis du temps à comprendre l'étendue des actions du virus. Aujourd'hui, ils ont tous publié des informations détaillées sur Sircam (en anglais), qui est référencé sous W32.Sircam.Worm@mm ou TROJ_SIRCAM.A, et créé des correctifs.

A consulter :

L'alerte de McAfee

L'alerte de Symantec

L'alerte de Trend Micro