|
Gibe : le virus-ver railleur
Méfiez-vous des messages de Microsoft accompagnés de pièce jointe. Surtout si celle-ci est un fichier exécutable. Il s'agira d'une exploitation détourner du nom de l'éditeur pour abuser l'utilisateur. C'est en tout cas la méthode employée par Gibe (se moquer, en anglais), un vers qui va s'auto-propager via les services d'e-mail. Tout en laissant une backdoor au passage. Gibe, ou I-Worm.Gibe, W32,Gibe@mm ou encore
W32/Gibe.A@mm, est un ver qui se propage par e-mail en se faisant passer pour
une mise à jour de Windows. Ecrit en Visual Basic, Gibe s'adresse aux
"Microsoft Customer" (client Microsoft) avec l'objet "Internet
Security Update". Le contenu du courrier est d'autant plus trompeur que le
discours employé s'attache à être ennuyeusement réaliste.
L'auteur du virus rappelle que la fonction des Security Update est de
corriger les failles d'Internet Explorer et d'Outlook tout en faisant référence
au bulletin de sécurité n° MS02-005. S'ensuit une longue description
technique des problèmes soi-disant rencontrés et des risques encourus en cas de
contamination sur un système non mis à jour. Ensuite, l'auteur invite
l'utilisateur à lancer le fichier "q216309.exe" livré en pièce jointe du mail.
Fichier à ne surtout pas activer sans quoi Gibe commence sa propagation sur
votre disque dur. Dans le cas contraire, le programme ouvre une fenêtre invitant
l'utilisateur à poursuivre l'installation de "Microsoft Security Update".
Qu'on clique sur "Yes" ou sur "No", le ver est déjà dans le fruit. Gibe ne
manque pas d'humour puisque, si le système est déjà infecté, le programme ouvre
une fenêtre pour signaler que "la mise à jour n'a pas besoin d'être effectuée".
Les victimes sauront apprécier cette petite raillerie.
Rappelons à toutes fins utiles que si Microsoft informe effectivement ses
clients par e-mail d'un nouveau bulletin de sécurité, il n'envoie jamais de
fichier attaché, encore moins exécutable. Et Windows Update est un service qui
interroge les serveurs de l'éditeur à la demande de l'utilisateur, et non
l'inverse. Bref, un courrier généraliste de Microsoft avec une pièce jointe
s'associe dans la quasi-totalité des cas à un message infecté. A mettre à la
poubelle immédiatement.
Pas méchant... au début
A priori, Gibe ne semble pas destructeur. Selon le site anglais F-Secure, il se contente d'installer un certain nombre de
fichiers (Q216309.exe, BcTool.exe, WinNetw.exe, GfxAcc.exe, Vtnmsccd.dll et
MSWinsck.ocx) qui vont récolter les adresses e-mails trouvées sur le disque pour
s'auto-envoyer. Rien de bien méchant donc. Et la suppression des fichiers
suffirait à éradiquer ce virus. Sauf que, toujours selon F-Secure, le fichier
"GfxAcc.exe" est un composant backdoor. Autrement dit, une porte
discrètement ouverte sur l'ordinateur personnel pour permettre un accès distant.
Gibe réserve donc probablement plus de surprises qu'il ne le laisse
croire. Christophe Lagane |