Gibe : le virus-ver railleur
Méfiez-vous des messages de Microsoft accompagnés de pièce jointe. Surtout si celle-ci est un fichier exécutable. Il s’agira d’une exploitation détournée du nom de l’éditeur pour abuser l’utilisateur. C’est en tout cas la méthode employée par Gibe (se moquer, en anglais), un vers qui va s’auto-propager via les services d’e-mail. Tout en laissant une backdoor au passage.
Gibe, ou I-Worm.Gibe, W32,Gibe@mm ou encore W32/Gibe.A@mm, est un ver qui se propage par e-mail en se faisant passer pour une mise à jour de Windows. Ecrit en Visual Basic, Gibe s’adresse aux « Microsoft Customer » (client Microsoft) avec l’objet « Internet Security Update ». Le contenu du courrier est d’autant plus trompeur que le discours employé s’attache à être ennuyeusement réaliste.
L’auteur du virus rappelle que la fonction des Security Update est de corriger les failles d’Internet Explorer et d’Outlook tout en faisant référence au bulletin de sécurité n° MS02-005. S’ensuit une longue description technique des problèmes soi-disant rencontrés et des risques encourus en cas de contamination sur un système non mis à jour. Ensuite, l’auteur invite l’utilisateur à lancer le fichier « q216309.exe » livré en pièce jointe du mail. Fichier à ne surtout pas activer sans quoi Gibe commence sa propagation sur votre disque dur. Dans le cas contraire, le programme ouvre une fenêtre invitant l’utilisateur à poursuivre l’installation de « Microsoft Security Update ». Qu’on clique sur « Yes » ou sur « No », le ver est déjà dans le fruit. Gibe ne manque pas d’humour puisque, si le système est déjà infecté, le programme ouvre une fenêtre pour signaler que « la mise à jour n’a pas besoin d’être effectuée ». Les victimes sauront apprécier cette petite raillerie.
Rappelons à toutes fins utiles que si Microsoft informe effectivement ses clients par e-mail d’un nouveau bulletin de sécurité, il n’envoie jamais de fichier attaché, encore moins exécutable. Et Windows Update est un service qui interroge les serveurs de l’éditeur à la demande de l’utilisateur, et non l’inverse. Bref, un courrier généraliste de Microsoft avec une pièce jointe s’associe dans la quasi-totalité des cas à un message infecté. A mettre à la poubelle immédiatement.
Pas méchant… au début
A priori, Gibe ne semble pas destructeur. Selon le site anglais F-Secure, il se contente d’installer un certain nombre de fichiers (Q216309.exe, BcTool.exe, WinNetw.exe, GfxAcc.exe, Vtnmsccd.dll et MSWinsck.ocx) qui vont récolter les adresses e-mails trouvées sur le disque pour s’auto-envoyer. Rien de bien méchant donc. Et la suppression des fichiers suffirait à éradiquer ce virus. Sauf que, toujours selon F-Secure, le fichier « GfxAcc.exe » est un composant backdoor. Autrement dit, une porte discrètement ouverte sur l’ordinateur personnel pour permettre un accès distant. Gibe réserve donc probablement plus de surprises qu’il ne le laisse croire.