Le virus ‘I love you’ en 10 questions

1. Comment se présente-t-il ?2. Quels sont les systèmes d’exploitation susceptibles d’être infectés ?3. Quels sont les logiciels de courrier électronique concernés par l’attaque ?4. C’est un virus ou un ver ?5. Comment ça marche ?6. Peut-on récupérer les fichiers infectés ?7. Comment se protéger ?8. Comment s’en défaire ?9. Quels sont les descendants connus ?10. Combien ça va coûter à la collectivité ?1. Comment se présente-t-il ?Le virus I love you, ou love letter tire son nom du fichier joint au courrier électronique qui le transporte. La première version, de nombreuses variantes  étant apparues depuis, était cachée dans une fichier nommé « Love-Letter-for-you.txt.vbs ». Par défaut, Windows cache l’extension des fichiers dont le type lui est connu. L’extension « .vbs » correspondant au format standard du langage de script de Windows, on a l’impression de recevoir un banal fichier texte. En réalité, se cache à l’intérieur un dangereux programme de destruction.2. Quels sont les systèmes d’exploitation susceptibles d’être infectés ?Le langage de script utilisé, le Visual Basic Script (d’où l’extension « .vbs ») n’existe que sous Windows 98, 2000 et ME (qui ne concerne pour le moment que les bêta testeurs). Windows 95 et NT peuvent aussi être concernés si Internet Explorer 5 a été installé. Cela implique donc que tous les autres systèmes (MacOS, Linux, etc.) ne courent aucun risque.3. Quels sont les logiciels de courrier électronique concernés par l’attaque ?Tous, mais à des niveaux différents. Que l’on utilise Outlook, Outlook Express, Eudora ou le module de courrier de Netscape, il suffit d’ouvrir le fichier joint pour lancer le script ravageur. En revanche, seules les versions 98 et 2000 d’Outlook peuvent servir de centrales de distribution du virus. Le virus peut en effet tirer partie de leur compatibilité avec le langage de script pour automatiser sa diffusion automatique à tous les contacts de son carnet d’adresses (voir question suivante). 4. C’est un virus ou un ver ?Même si le terme virus est le terme générique le plus souvent employé pour définir un morceau de code informatique malin, I love you est bel et bien un « ver ». Cela signifie qu’il est conçu non seulement pour détruire certains fichiers du disque dur, mais aussi pour se propager le plus rapidement possible vers d’autres PC, notamment par l’intermédiaire de la messagerie électronique. Une fois installé, il utilise en effet le carnet d’adresses d’Outlook pour s’envoyer lui-même à tous vos contacts… I love you peut également passer par les canaux IRC (Internet Relay Chat) pour se propager. Les bavards connectés seront prévenus.5. Comment ça marche oei love you s’attaque à un grand nombre de types de fichier. Le virus cherche sur tous les disques locaux, ainsi que sur les éventuels disques réseaux tous les fichiers en « .vbs », « .vbe », « .js », « .jse », « .css », « .wsh », « .sct », « .hta », « .jpg », « .wav », « .txt », « .gif », « .doc », « .htm », « .html », « .xls », « .ini », « .bat », « .com », « .mp2 », « .mp3 ». Le contenu de tous ces fichiers est remplacé par le code source du ver, détruisant ainsi le contenu originel. Le virus ajoute également l’extension « .vbs », afin de rendre le script malin exécutable. Les fichiers musicaux « .mp2 » et « .mp3 » sont traités de façons un peu particulière. Certains ne sont pas détruits, ils sont simplement déclarés comme fichiers cachés.Le virus modifie également la base de registre de Windows afin de s’assurer d’être lancé à chaque redémarrage de la machine (voir question 8 pour retirer les lignes ajoutées à la base de registre). Il se recopie en deux exemplaires dans le répertoire Windowssystem, sous le nom « love-letter-for-you.txt.vbs » et « MSKernel32.vbs ».Il cherche également à télécharger sur Internet un fichier nommé « WIN-BUGSFIX.exe » qui bien évidemment ne correspond pas à une application curative comme son nom le suggère pourtant (to fix en anglais signifie « réparer »). Il s’agirait plutôt d’un voleur de mots de passe stockés sur la machine. Il semble que le serveur qui le délivrait ne soit plus en ligne.6. Peut-on récupérer les fichiers infectés ?A part les quelques rares cas de fichiers musicaux évoqués plus haut, non. Tous les fichiers touchés par I love you sont irrémédiablement détruits. C’est dans ces moments là que l’on chérit ses CD-Rom de sauvegarde. 7. Comment se protéger ?Le meilleur réflexe consiste avant tout à ne jamais ouvrir un fichier joint si l’on n’est pas certain de la provenance du message. Et il convient de se méfier surtout de messages racoleurs qui promettent justement un amour éternel ou la fortune au bout du clic.Il est également indispensable de mettre à jour son anti-virus très régulièrement. La plupart des éditeurs proposent des mises à jour quasiment tous les jours ! Bien sûr, tous les anti-virus fonctionnent a posteriori, c’est-à-dire après l’apparition de nouveaux virus. Leur mode de fonctionnement repose en effet sur la comparaison des fichiers stockés sur le disque avec une base de signatures de virus connus. Il faut donc espérer ne pas être le premier atteint.Certains logiciels de protection proclament être capables de stopper n’importe quel code malin, même inconnu de toutes les base du monde. C’est le cas, par exemple, de ViGuard de Tegam, ou d’ADInf, de la société Safe Work. Ils sont censés détecter tout changement suspect, produit, par exemple, par un virus inconnu qui n’aurait pas été détecté par l’anti-virus que ces logiciels ne sauraient remplacer. En effet, s’ils savent détecter un comportement bizarre, ils sont en revanche incapables de stopper la diffusion du virus. Si vous faites suivre le message infecté avant de l’ouvrir, ces deux logiciels ne broncheront pas.8. Comment s’en défaire ?Outre les solutions anti-virus qui sont disponibles gratuitement sur les sites de tous leurs éditeurs, on peut aussi essayer d’extraire le virus de son disque dur « à la main ». A conseiller aux experts, tout de même. Il faut d’abord rechercher et effacer tous les fichiers « .vbs » dont la taille est de 10 et 11 Ko de son disque dur. Il faut également rechercher et effacer tout fichier nommé « love-letter-for-you.txt.vbs ».Vient ensuite le dur labeur de nettoyage de la base de registre. Les clés suivantes ont de grandes chances d’avoir été ajoutées :HKLMSoftwareMicrosoftWindowsCurrentVersion RunWIN-BUGSFIXHKLMSoftwareMicrosoftWindows CurrentVersionRunMSKernel32HKLMSoftwareMicrosoftWindows CurrentVersionRunServicesWin32DLLHKLMSoftwareMicrosoftWindows CurrentVersionRunESKernel32HKLMSoftwareMicrosoftWindows CurrentVersionRunServicesES32DLLHKLMSoftwareMicrosoftWindows CurrentVersionRunWINFAT32Plusieurs des programmes ci-dessus ont également pu être ajoutés pour chaque utilisateur de la machine. La clé est alors de la forme :HKEY_USERSnom utilisateurSoftwareMicrosoftWindows CurrentVersionRunHKLMSoftwareMicrosoftWindows CurrentVersionPoliciesNetworkHideSharePwdsHKLMSoftwareMicrosoftWindows CurrentVersionPoliciesNetworkDisablePwdCachingHKLMSoftwareMicrosoftWindows CurrentVersionPoliciesNetworkHideSharePwdsHKLMSoftwareMicrosoftWindows CurrentVersionPoliciesNetworkDisablePwdCachingVu la complexité de la manoeuvre, et le risque de destruction de clés de registre indispensables au bon fonctionnement du système, répétons que ce nettoyage ne doit être entrepris que par les utilisateurs les plus avancés.9. Quels sont les descendants connus ?Selon l’éditeur Symantec, 19 variantes du même virus I love you avaient été tracées au 8 mai. Ils ont pour nom « Lithuania », « Very Funny », « BugFix », « Mother’s Day », « Virus Warning » ou encore « LOOK! ». Bien choisis, ces noms attisent la curiosité et poussent au clic. Retenez-vous ! Tous ont à peu près les mêmes effets qu’I love you tout en s’en différenciant par quelques détails, comme le type de fichier attaqué, par exemple. Et il vous faudra de nouveau mettre à jour votre anti-virus ou télécharger le correctif adéquat.10. Combien ça va coûter à la collectivité oeune première étude américaine a déjà chiffré les dégâts causés par I love you à presque 7 milliards de dollars, rien que pour les Etats-Unis. Et pourtant, plusieurs spécialistes en sécurité informatique ont confirmé que ce virus ne présentait aucune difficulté majeure de programmation…Pour en savoir plus, et se protéger :* Symantec France * Panda Software * Mc Afee* AVP de Kaspersky Labs* ADInf sur le site de Safe Work * ViGuard sur le site de Tegam(article modifié le 19 mai 2000)