Refusez l’invitation de MyParty !

Cloud

Faiblement destructeur (pour le moment), le virus MyParty innove par sa façon d’abuser le destinataire. Simplement en présentant le fichier infectant sous la forme d’une adresse Internet. Sa propagation doit cependant s’arrêter ce soir.

Découvert dimanche 27 janvier, MyParty est le parfait exemple de virus exploitant la naïveté, l’ignorance ou le manque de vigilance de son destinataire pour se propager, plutôt qu’une technologie révolutionnaire. Ecrit en C++, MyParty se présente par l’en-tête suivant : « New photos from my party! ». Un francophone qui ne lit pas l’anglais, ou qui n’a pas particulièrement de correspondant anglophone susceptible de l’inviter à ses fêtes, n’a donc aucune raison de poursuivre la lecture du message.

Quand bien même il le ferait, il tomberait sur une invitation à aller consulter les fameuses photos en ligne (« Hello! My party… It was absolutely amazing! I have attached my web page with new photos! If you can please make color prints of my photos. Thanks! »). Le fichier est accompagné d’une pièce jointe nommée « www.myparty.yahoo.com ». C’est là que réside essentiellement l’intelligence de l’auteur. En intitulant son fichier infectant comme une adresse Internet, qui plus est sensée, il trompe l’utilisateur qui ignore qu’un lien hypertexte ne peut prendre la forme d’une pièce jointe. Lorsque l’utilisateur clique sur le fichier attaché, il déclenche le virus, nous rappelant au passage que les « .com » sont des fichiers exécutables, à l’instar les « .exe ».

En tant que Français, il faut donc être particulièrement inattentif (ou curieux) pour se laisser piéger. Une fois lancé, le virus vérifie que la date du système est comprise entre le 25 et le 29 janvier. Si c’est le cas, il se copie sur le disque dur sous le nom REGCTRL.EXE avant de s’auto-envoyer aux contacts des carnets d’adresses d’Outlook Express. Sous Windows NT/2000/XP, MyParty installe un cheval de Troie sous le nom de MSSTASK.EXE et ajoute un raccourci dans le menu Démarrer pour faciliter la prise de commande à distance de la machine.

Fin de l’épisode le 29 janvier à minuit

MyParty n’est pas destructeur. Et après le 29 janvier à minuit, il devrait stopper sa propagation. Seules les machines infectées par le trojan s’exposent à des conséquences plus graves. On ignore les intentions de l’auteur du virus. Celui-ci semble chercher à évaluer une saturation possible des réseaux et serveurs de messagerie dans un temps donné. En effet, un courrier est envoyé à l’adresse « napster@gala.net » à chaque réplication du virus informant ainsi l’auteur de l’état de progression de la contamination. MyParty ne serait-il qu’un avant-goût d’une attaque beaucoup plus agressive ?