Inaugurant un genre nouveau, Lovgate.C est un virus informatique qui se propage en répondant aux e-mails, sous la forme de messages infectés du type « Re: objet du message original ». Une méthode qui dupera l’internaute le plus méfiant.
L’éditeur de logiciels antivirus Trend Micro alerte les internautes, depuis lundi matin, sur l’apparition d’un virus-ver programmé pour tromper sa victime, avec un sens aigu de l’usurpation: il se mue en « répondeur automatique » de courriers électroniques.
«Il s’agit, à ma connaissance, du premier virus de ce type, qui mérite une étude épidémiologique complète», a indiqué à ZDNet Marc Blanchard, directeur du laboratoire de recherche européen de Trend Micro, ajoutant que la bestiole se propage rapidement en Europe, en Chine, à Taiwan et en Australie. Plusieurs grandes sociétés françaises auraient déjà été touchées, ajoute le responsable.
Baptisé « Lovgate.C » (WORM_LOVGATE.C), c’est la troisième version d’un programme viral déjà connu, notamment pour cacher en son sein un programme espion ouvrant une « porte dérobée » sur la machine infectée. Mais cette fois, la mouture « C » de Lovgate se distingue par sa méthode de propagation.
Mode de propagation: se faire passer pour un ami de confiance…
Cette méthode est basée sur ce que les experts en sécurité appellent le « social engineering », c’est-à-dire qu’il exploite des faiblesses humaines plutôt que des failles logicielles.
Dans le cas de Lovgate.C, il s’agit de déjouer la vigilance des internautes, habitués de plus en plus à se méfier des e-mails provenant de personnes inconnues de la victime. Pour cela, il envoie de fausses réponses aux e-mails reçus dans la boîte de réception des postes infectés. Il crée des messages de type « Re: … », en allant jusqu’ à recopier l’objet du courrier original.
Exemple: un utilisateur B envoie un message à un utilisateur A, dont le poste est contaminé par Lovgate.C. L’objet du message est « Merci de valider mon projet ». Le virus va renvoyer à B une réponse à son message, via son propre serveur SMTP, dont l’objet sera, « Re: Merci de valider mon projet ».
Cet e-mail piégé contiendra le virus en pièce jointe et un corps de message du type (en anglais): «Je vais essayer de répondre rapidement. Jette un oeil à la pièce jointe et dis-moi ce que tu en penses».
«La plupart des utilisateurs risquent de cliquer sur la pièce jointe et ainsi de contaminer leur poste», commente le responsable de Trend Micro.
Il ne détruit pas de fichiers mais ouvre le port réseau 10168
Pour le reste, Lovgate.C est également capable de se propager via les réseaux, en se copiant dans les dossiers partagés sous la forme de fichiers exécutables, avec des noms tels que « Setup.exe » ou « docs.exe ». Bien entendu, cliquer sur ce fichier activera le virus.
Enfin, côté dangerosité, il ne détruit pas de fichiers sur les postes contaminés mais ouvre le port réseau 10168, permettant à un utilisateur distant d’accéder au système contaminé. Une personne malintentionnée peut alors tenter d’en prendre le contrôle et, ainsi, lire, modifier ou effacer des fichiers.
Il ne touche pour l’instant uniquement que les plates-formes Windows et les outils de messageries Outlook et Outlook Express, indique Trend Micro. L’éditeur fournit une solution manuelle pour éradiquer le virus. Il invite également les internautes à scanner leur système avec un antivirus mis à jour afin de parer à une éventuelle contamination.
[source – ZDNet.fr]