La période des fêtes de fin d'année est traditionnellement propice à des messages permettant de leurrer les utilisateurs et d'infecter leur ordinateur. Deux malwares sont au rendez-vous cette année.

au sommaire


    Virus : attention le père Noël vous attaque !

    Virus : attention le père Noël vous attaque !

    Tout d'abord GiftCom (IM.GiftCom.All) est susceptible de vous arriver par votre messagerie instantanée (AIM, ICQ, MSNMSN, Windows Messenger, Yahoo!, ICQ, MSN, Windows Messenger, Yahoo!). Le message contient un lien invitant à visiter un site web, mais est en réalité destiné à charger un fichier exécutable, habituellement nommé gift.com. Ce fichier s'exécute alors et se comporte comme un rootkit, c'est à dire qu'il devient invisible pour Windows et la plupart des antivirus. Il tente en outre de fermer l'antivirus présent sur l'ordinateur infecté.

    Ce malware scanne le registre, le système, le cache internetinternet, récupère les adresses enregistrées sur l'ordinateur pour tenter de s'envoyer vers de nouvelles adresse de messageries instantanées. Il semble espionner les frappes sur le clavierclavier, fait divers appels sur le réseau et peut conduire sur un site téléchargeant une variante du ver Sdbot qui utlise le protocoleprotocole IRCIRC pour contrôler une activité de porte dérobéeporte dérobée (backdoor).

    GiftCom a été identifié par IMlogic Threat Center.

    Une autre alerte concerne le cheval de Troiecheval de Troie MerryX.A qui se répand plus classiquement par mail. Il arrive dans un message dont le sujet est "MERRY CHRISTMAS!", et dont le texte est "Merry Christmas and a Happy New Year!". Le message contient deux fichiers attachés : une image Gif sans danger et un fichier .rar autoextractible qui est le véritable agresseur. À son ouverture ce fichier lance une animation FlashFlash montrant St Nicolas (Santa Claus) et un arbrearbre de Noël, sur un fond de musique de Noël.

    En réalité le fichier installe le cheval de Troie dans un fichier nommé SQLServer.exe. Ce cheval de Troie récupère diverses informations sur la configuration de l'ordinateur, dont l'adresse IPadresse IP, la configuration matérielle, et les envoie vers un serveurserveur distant. Il tente aussi de charger diverses pages web qui peuvent être des points d'entrée d'autres malwares.

    Dans divers communiqués de presse ces deux attaques (IM.GiftCom.All et MerryX.A) semblent avoir été confondues et sont parfois désignées de façon erronée sous le nom de ver Santa.

    Pour mémoire, le virus de Noël de l'an dernier était Zafi.D.