Swen, un virus ver habillé de Microsoft

Cloud

Une alerte de sécurité par e-mail de Microsoft vous invitant à installer le correctif proposé en pièce jointe ? Attention, virus !

L’habit ne fait pas le moine. L’adage pourrait très bien s’appliquer à Swen (W32/Swen@MM chez Network Associates, W32/Gibe-F chez Sophos), un nouveau ver découvert le 18 septembre 2003 et qui, de 95 à XP, affecte toutes les versions 32 bits de Windows. Swen se transmet par une pièce jointe à l’e-mail qui, dans un format HTML, imite avec talent une page de Microsoft. Outre le logo de l’éditeur, le style de la mise en page entretient également la confusion tant celle-ci est bien travaillée. La page invite le destinataire à mettre à jour son système grâce au correctif joint (un fichier .exe ou .zip).

S’installe sur Kazaa et IRC

L’usurpation d’identité se poursuit avec le lancement du soi-disant correctif qui s’exécute en imitant visuellement les étapes d’un vrai programme d’installation (écran de progression, messages d’alerte, etc.). Une fois installé, Swen tente de désactiver les antivirus et firewalls personnels en se basant sur le nom de leur processus (vscan, vcleaner, safeweb…). Le ver s’ajoute ensuite au démarrage du système et peut modifier certaines clés de la base de registres afin notamment d’émettre un faux message d’erreur en cas d’ouverture d’un fichier .REG (fichier de la base de registres). Ce faux message sous-entend qu’il y a une erreur système, espérant probablement ainsi pousser l’utilisateur à fermer son éditeur de la base de registres. Swen se réplique ensuite via les adresses e-mails du carnet de Microsoft Outlook.

Swen tente également de s’installer dans le répertoire de partage du logiciel d’échange de fichiers Kazaa ainsi que sur les réseaux de communication IRC. Les auteurs de Swen espèrent ainsi accélérer la propagation du ver en « incitant » les internautes à télécharger ce fameux correctif à partir des ordinateurs de particuliers. Optimistes (ou opportunistes ?), les auteurs du ver n’ont reculé devant aucune technique pour permettre la plus large propagation possible de leur méfait. Ainsi exploitent-ils la faille IFRAME qui permet l’exécution automatique d’une pièce jointe à l’affichage d’une page Web dans Internet Explorer comme dans Outlook et Outlook Express. Une faille vieille de… deux ans. Apparemment, certains n’ont toujours pas mis leur système à jour.

Un peu de bon sens

Si la mise à jour des antivirus s’avère indispensable pour se protéger contre ce nouveau virus, le bon sens peut également éviter pas mal de dégâts. Il faut notamment garder en mémoire que Microsoft n’envoie jamais de fichier joint dans ses alertes. En cas d’annonce de faille, mieux vaut se rendre sur Microsoft TechNet, site dédié à la sécurité, ou bien exploiter le service WindowsUpdate, plutôt que de faire confiance à un e-mail avec pièce jointe, aussi crédible soit-il. Et, d’une manière générale, il n’est pas conseillé d’ouvrir les pièces jointes quand elles ne sont pas attendues.

Pas de panique pour autant. Network Associates attribue un risque moyen à Swen pour les particuliers et faible pour les entreprises. A condition que sa propagation reste limitée. Cependant, l’éditeur Kaspersky estimait, jeudi 18 septembre au soir, à plus de 30 000 le nombre de machines déjà infectées. Et « leur nombre est en augmentation », souligne-t-il. Il est temps d’y remédier.