Un dangereux ver s’en prend à MSN Messenger

Cloud

Chod.B se propage par e-mail et par la messagerie de Microsoft. Au programme, désactivation des protections locales et vols de mots de passe.

MSN Messenger revient sur le devant de la scène des attaques virales. Près d’un mois après Kelvir (voir édition du 9 mars 2005), l’application de messagerie instantanée de Microsoft est cette fois victime de Chod.B. Apparu le 1er avril dernier, ce ver malicieux qui se propage par envoi d’e-mail tente d’exploiter MSN Messenger depuis le 4 avril pour se multiplier. Une fois encore, les auteurs de ce lombric numérique se sont surpassés dans leur tentative de manipulation pour convaincre la victime de se laisser infecter.

Chod.B tente de se faire passer pour un service de Microsoft, Symantec ou Trend Micro comme expéditeur et informe le destinataire qu’il est probablement infecté (Your computer may have been infected dans le sujet de l’e-mail). Il invite alors l’utilisateur à cliquer sur la pièce jointe ? ce qu’il ne faut surtout pas faire ? présentée comme un outil de désinfection (netsky_removal.exe ou removal_tool.exe…).

Les attaques de messageries en recrudescence

En cas d’infection, Chod.B s’auto envoie auprès de tous les contacts MSN Messenger avec un message d’invitation du type : « regarde ce que j’ai trouvé sur ce site » (check out what I just found on some stupid website) avec un fichier joint qui peut prendre une dizaine de nom différents (check this out, gross, my sister’s webcam, etc.) dont l’extension est « .pif » ou « .scr ». Si le fichier joint est activé, la bestiole tente alors de désactiver les antivirus et firewall présents sur la machine et ouvre une porte dérobée (back door).

Il se connecte ensuite à un serveur IRC où il attend alors sagement les instructions de ses créateurs ou commanditaires. Il est également capable de voler la plupart des mots de passes de AIM, ICQ, Yahoo Messenger, MSN Messenger ainsi que Miranda et Trillian. Ce qui suppose que les auteurs malveillants de ce type d’intrusion comptent bien s’attaquer aux autres réseaux et applications de messagerie sur le marché. Et prouve, s’il en était besoin, que les attaques via les messageries sont en recrudescences.