New Love, une version mutante d’I Love You

Attention, un nouvelle déclinaison d’I love You (voir édition du 5 mai 2000), potentiellement bien plus dévastatrice, commence à se répandre dans le réseau. Trend Micro et Symantec ont chacun de leur coté lancé un appel à la vigilance. Cette variante, dénommée « New Love », semble beaucoup plus féroce que son prédécesseur, à la fois dans son mode de distribution et dans son action destructrice. Pour le moment, sa propagation semble s’être limitée aux Etats Unis, à Israël (où il serait apparu en premier) et au Royaume Uni.Identique dans son principe de fonctionnement à « I Love You », New Love s’introduit sur les machines par le biais d’un courrier électronique. C’est une nouvelle fois en fichier joint que se trouve le virus, encore une fois sous la forme d’un fichier Visual Basic (extension « .vbs »). Mais à la différence de « I Love You », ce virus se réplique en changeant de nom. C’est ce que l’on appelle un ver polymorphe. Autrement dit, à chaque fois qu’il utilise un des contacts de votre carnet d’adresses pour s’envoyer lui-même, il change d’intitulé. Ce nouvel intitulé correspond le plus souvent à celui d’un des derniers fichiers ouverts sur la machine infectée. Le virus arrive donc sur le PC du destinataire sous la forme d’un forward (message renvoyé), avec en pièce jointe le fichier en extension Visual Basic. Encore plus inquiétant, les dommages que ce virus peut faire sur un PC sont beaucoup plus importants que ceux occasionnés par « I Love You ». En effet, « New Love » s’attaque indifféremment à tous les types de fichiers. De plus, il ne les détruirait pas complètement mais les viderait plutôt de leur substance et rendrait le système totalement instable.D’après Eric Beaurepaire de Symantec France, pour le moment dix entreprises au monde auraient été touchées. Du fait de son aspect polymorphe, ce virus nécessite une mise à jour non seulement des signatures mais aussi du moteur de l’application anti-virale. Chez Symantec, celle-ci devrait être disponible au moment où vous lirez ces lignes afin de prémunir les utilisateurs à la fois de ce virus et de ses futures variantes. Le responsable de Symantec nous a bien confirmé que ce virus ne s’attaquait une nouvelle fois qu’à Outlook et que, pour l’instant, le fichier joint devait représenter dans les 400 Ko mais qu’il était susceptible de grossir par lui même, du fait de sa possibilité d’auto-mutation.A ce discours, les français de Tegam réagissent bruyamment. « Notre logiciel Viguard détectait déjà I love You, sans avoir besoin d’une quelconque mise à jour. Le modèle des logiciel anti-virus américains est complètement dépassé » s’exclame-t-on chez Tegam. Difficile à croire ? Chez Tegam on explique que Viguard repose sur une technique de détection dite « biométrique », qui repère un virus, et stoppe son action malveillante, en se basant sur son comportement. Bref une démarche inverse des anti-virus traditionnels, qui ne détectent que les virus déjà connus en se basant sur une base de données répertoriant leurs signatures. « Vu l’augmentation du rythme d’apparition des nouveaux virus, cette démarche s’avère de moins en moins efficace », insiste-t-on chez Tegam. Même s’il ne s’agit pas de l’arme absolu, Viguard ne détruisant pas le virus et donc n’empêchant pas sa propagation automatique par mail, il propose une démarche préventive originale. Et qui s’est révélé efficace sur les derniers virus qui ont tant défrayé la chronique. Et si « I love you » remettait en cause le business bien huilé des mises à jour d’anti-virus ?Pour en savoir plus : * Tegam, éditeur de Viguard * Symantec * Trend Micro * I Love You en 10 questions