Virus : Storm Worm exploite YouTube pour se propager

Cloud

Une nouvelle variante du cheval de Troie Zhelatin.HJ se fait passer pour une
vidéo de YouTube. A éviter pour ne pas finir comme un zombie.

Agent.AF, poursuit ses évolutions et ses attaques. Les dernières sont datées du 25 et 26 août 2007. L’agent infectieux se propage par e-mail en se faisant passer pour un message anodin incitant l’utilisateur qui la reçoit à cliquer sur un lien pour aller visionner une vidéo prétendument hébergée sur YouTube. Le contenu du mail est un texte court, jusqu’à présent rédigé exclusivement en anglais, au titre à la fois familier et accrocheur qui laisse à penser que la vidéo en question vaut le détour. Une technique d’infection par ingénierie sociale qui, malgré l’ancienneté de la méthode, continue apparemment de fonctionner. D’autant que l’adresse du lien vers la vidéo est, en apparence, identique à celles de YouTube.

Si le destinataire clique sur le lien, il est en redirigée sur une page piège aux couleurs de la plate-forme d’échange de vidéos en ligne, ce qui met immédiatement, mais à tord, en confiance l’internaute. La page tente alors d’exploiter des failles systèmes (notamment le contrôle ActiveX WebViewFolderIcon, une vulnérabilité de septembre 2006 corrigée en octobre) pour exécuter du code malveillant et installer un cheval de Troie qui permet aux pirates de prendre le contrôle distant de la machine pour l’intégrer, notamment, à un réseau de PC Zombie. Plus pernicieux, les développeurs incitent, sous prétexte d’une mise à jour ou de l’absence de démarrage de la vidéo, à télécharger un petit exécutable, lui aussi aux velléités infectieuses.

Une cinquantaine de variantes

Connu sous le nom de Storm Worm, cet agent malicieux désigne également une campagne d’attaque par spam démarrée le 22 juin 2007. Le principe est toujours le même : un courriel invite son lecteur à cliquer sur un lien, lequel redirige vers une page Web piégée.

Depuis le 22 juin, l’agent infectieux, également dénommé Zhelatin (par McAfee ou Kaspersky) ou Peacomm (Symantec), a connu une cinquantaine de variantes, dont quasiment une par jour en août, avec à chaque fois un scénario d’infection toujours plus élaboré, notamment dans la formulation du message invitant son destinataire à cliquer sur le lien qui accompagne le courriel.

Pour s’en protéger, il conviendra de ne pas cliquer sur les liens intégrés dans des mails douteux, même en provenance d’un contact familier (quitte à vérifier avec lui qu’il en est bien l’expéditeur). Il faut évidemment tenir son système et les logiciels installés à jour des correctifs et utiliser un antivirus, à jour lui aussi. Cependant, ces derniers peuvent se révéler inefficaces face à des variantes dont l’objectif vise notamment à prendre de vitesse les mises à jour des solutions de sécurité. La vigilance humaine reste donc plus que jamais indispensable.