Une véritable bombe virale déferle sur l’Europe, l’Asie et l’Amérique depuis ce jeudi 4 mai. Selon nos premières informations, de nombreux grands comptes français seraient contaminés : opérateurs de télécoms ?” dont France Télécom ?”, groupes de communication ?” Vivendi ?” ou encore assurances. Plusieurs dépêches des agences de presse AFP et Associated Press font également état de dégats importants touchant des grandes entreprises et des administrations en Allemagne, en Grande-Bretagne et en Suisse.
Le virus arrive sous la forme d’une pièce attachée, nommée LOVE-LETTER-FOR-YOU.TXT.vbs, avec un message rédigé en anglais invitant le destinataire à l’ouvrir. Tous les systèmes Windows ?” 95, 98, NT4 et 2000 ?” sont sensibles à ce programme.
Selon l’éditeur d’antivirus Trend Micro, il s’agit d’un fichier VBScript d’une taille de 10 307 bytes. Une fois lancé par la victime, il ajoute les trois fichiers suivants au système : windowsWin32DLL.vbs, systemMSKernel32.vbs et systemLOVE-LETTER-FOR-YOU.TXT.vbs. Il modifie alors la base de registres de Windows pour faire exécuter ces fichiers. Le virus cherche ensuite un fichier nommé WinFAT32.exe dans le répertoire :windowssystem. Si ce fichier existe, le virus modifie la page de démarrage du logiciel de navigation Internet Explorer en y inscrivant une adresse du type http://www.skyinet.net/~ … /WIN-BUGSFIX.exe. Là, réside la principale originalité de ce virus : il semblerait qu’il télécharge sur Internet un fichier permettant de pirater ultérieurement l’ordinateur victime. “Il enregistre sur le poste utilisateur un exécutable permettant de voler tous les mots de passe enregistrés sur la machine. Ensuite, il les envoie par e-mail à l’adresse [email protected]”, explique Gordana Cindric, consultante chez Network Associates.
” On pourrait le qualifier de macrovirus de type vers “, explique ainsi Pascal Lointier, président de la commission Menaces du Clusif. ” Il se propage très rapidement en utilisant toutes les adresses contenues dans le carnet d’adresses de la messagerie Outlook “, ajoute-t-il. Autre originalité du virus ILOVEYOU, il essaie de se propager par l’intermédiaire des canaux de chat. En effet, le virus modifie le fichier script.ini du système de messagerie en temps réel mIRC. Une fois relié à un canal de chat utilisant mIRC, il envoie aux personnes connectées une copie de lui-même sous forme de fichier HTML. Mais, pour l’instant, il semble difficile d’évaluer l’efficacité de cette méthode de propagation.
Passée cette étape de contamination, il met en route son processus de destruction. Il recherche tous les fichiers avec les extensions suivantes sur l’ordinateur victime : .vbs, .vbe, .js, .jse, .css, .wsh, .sct, .hta, .jpg, .jpeg, .mp3 et .mp2. Il écrase ainsi tous les fichiers trouvés en les remplaçant par son propre code et les renomme, en ajoutant à l’extension originale une nouvelle extension .vbs.
Ce virus, fort bien réalisé, est signé par un certain Spyder, originaire de Manille, aux Philippines. L’auteur a d’ailleurs laissé son adresse e-mail ?” [email protected] ?” dans l’en-tête du virus. Etant donné la vitesse de propagation ?” plus d’une vingtaine de pays contaminés en quatre heures aujourd’hui, selon l’éditeur d’antivirus F-Secure ?” et la dangerosité du programme, ILOVEYOU devrait éclipser le tristement célèbre Melissa au panthéon des virus.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
