Le virus Gone se propage à la vitesse de ‘I Love You’
Déguisé en économiseur d’écran, le virus Gone se propage par Outlook mais aussi par les messageries instantanées et l’IRC. S’il n’a pas l’air très méchant, sa vitesse de réplication rappelle celle de « I love you ». Symantec publie un outil correctif, à appliquer d’urgence pour éviter l’hécatombe provoquée l’année dernière par LoveLetter.
Et un nouveau virus, un ! Ecrit en Visual Basic et compressé, Gone (mais aussi Goner ou Goner.A, ce qui suppose qu’on peut s’attendre à un Goner.B) se propage par le courrier électronique mais aussi par les applications de messagerie instantanée, comme ICQ, et l’IRC. Poli, il se présente avec un « Hi » (« Salut » en anglais) dans son en-tête. Son contenu, toujours en anglais, invite à installer l’économiseur d’écran « Goner.scr » fourni en pièce jointe, un fichier de 38 Ko. Le texte original est le suivant : « How are you ? When I saw this screen saver, I immediately thought about you I am in a harry, I promise you will love it! ».
Il est évidemment vivement conseillé de ne pas exécuter le fichier joint et de détruire le message sans hésitation. Dans le cas contraire, le virus s’installe dans le répertoire System de Windows et modifie la base de registres pour s’exécuter à chaque démarrage du système. Il s’auto-envoie aux contacts du carnet d’adresses d’Outlook ainsi qu’à ceux d’ICQ ou des logiciels d’IRC qui sont en ligne. Gone s’attaque ensuite aux antivirus et firewalls éventuellement installés et conclut sa prestation par le message d’erreur suivant : « Error While Analyze DirectX! ».
1 email sur 30 !
Comme tous les vers de son genre, Gone est envahissant. A 15 heures, ce mercredi 5 décembre, la société britannique antivirale MessageLabs déclare avoir arrêté 70 000 e-mails infectés par Gone. « Le taux de propagation du virus est d’environ 1 e-mail sur 30 », peut-on lire sur le site. Un taux qui rappelle celui de « I love you » (LoveLetter ou LoveBug) qui était de 1 virus pour 28 e-mails (voir édition du 9 juin 2000). En comparaison, MessageLabs estime à 1 pour 100 le taux d’infection des récents virus.
Symantec a mis en ligne un programme, FixGoner.exe, destiné à éradiquer l’infection. Il est conseillé de l’exécuter dès son téléchargement (n’oubliez pas de fermer toutes vos applications avant), d’éteindre et rallumer le système puis de relancer, par sécurité, FixGoner. Pour ceux qui préfèrent procéder manuellement, il faut lancer une recherche sur les fichiers Gone (Goner, Gone.scr, etc.) et les supprimer. Il faut aussi effacer l’entrée contenant Gone.scr dans la clé HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrent VersionRun de la base de registres. Ensuite, relancer l’ordinateur pour que la « nouvelle » base de registres soit prise en compte. Mais le plus simple est encore de rester attentif aux e-mails reçus.
On peut noter également que, comme à son habitude, Tegam, l’éditeur français de l’antivirus ViGuard, signale que son logiciel stoppe sans problème le virus Gone. Et ce sans mise à jour, puisque son mode de fonctionnement est radicalement différent de celui de tous les autres antivirus. A l’époque, il avait déjà stoppé « I love you » quand tous les autres en étaient encore à développer la parade…