Gibe, ou I-Worm.Gibe, W32,Gibe@mm ou encore W32/Gibe.A@mm, est un ver qui se propage par e-mail en se faisant passer pour une mise à jour de Windows. Ecrit en Visual Basic, Gibe s’adresse aux « Microsoft Customer » (client Microsoft) avec l’objet « Internet Security Update ». Le contenu du courrier est d’autant plus trompeur que le discours employé s’attache à être ennuyeusement réaliste.
L’auteur du virus rappelle que la fonction des Security Update est de corriger les failles d’Internet Explorer et d’Outlook tout en faisant référence au bulletin de sécurité n° MS02-005. S’ensuit une longue description technique des problèmes soi-disant rencontrés et des risques encourus en cas de contamination sur un système non mis à jour. Ensuite, l’auteur invite l’utilisateur à lancer le fichier « q216309.exe » livré en pièce jointe du mail. Fichier à ne surtout pas activer sans quoi Gibe commence sa propagation sur votre disque dur. Dans le cas contraire, le programme ouvre une fenêtre invitant l’utilisateur à poursuivre l’installation de « Microsoft Security Update ». Qu’on clique sur « Yes » ou sur « No », le ver est déjà dans le fruit. Gibe ne manque pas d’humour puisque, si le système est déjà infecté, le programme ouvre une fenêtre pour signaler que « la mise à jour n’a pas besoin d’être effectuée ». Les victimes sauront apprécier cette petite raillerie.
Rappelons à toutes fins utiles que si Microsoft informe effectivement ses clients par e-mail d’un nouveau bulletin de sécurité, il n’envoie jamais de fichier attaché, encore moins exécutable. Et Windows Update est un service qui interroge les serveurs de l’éditeur à la demande de l’utilisateur, et non l’inverse. Bref, un courrier généraliste de Microsoft avec une pièce jointe s’associe dans la quasi-totalité des cas à un message infecté. A mettre à la poubelle immédiatement.
Pas méchant… au début
A priori, Gibe ne semble pas destructeur. Selon le site anglais F-Secure, il se contente d’installer un certain nombre de fichiers (Q216309.exe, BcTool.exe, WinNetw.exe, GfxAcc.exe, Vtnmsccd.dll et MSWinsck.ocx) qui vont récolter les adresses e-mails trouvées sur le disque pour s’auto-envoyer. Rien de bien méchant donc. Et la suppression des fichiers suffirait à éradiquer ce virus. Sauf que, toujours selon F-Secure, le fichier « GfxAcc.exe » est un composant backdoor. Autrement dit, une porte discrètement ouverte sur l’ordinateur personnel pour permettre un accès distant. Gibe réserve donc probablement plus de surprises qu’il ne le laisse croire.
Microsoft lance Phi-3-mini, un petit modèle de langage (SLM) qui s'adresse aux entreprises ne disposant…
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…