Alerte : un ver se promène sur Skype

Surnommé Ramex.a par un porte-parole de Skype, et Pykspa.d par les ingénieurs de Symantec, le ver qui fait l’objet d’une alerte par Skype, utilise une méthode d’attaques connue.

Après avoir dérobé la liste des contacts de l’utilisateur infecté, ce ver diffuse des messages instantanés qui contiennent un lien Internet.

Les contacts qui cliquent sur le lien, qui se présente comme une image JPG, sont immédiatement infectés.

« Le message de ‘chat‘ utilisé se modifie régulièrement. Mais à chaque fois l’utilisateur a le sentiment qu’il s’agit d’un message légitime. Il a donc un grand potentiel de propagation » explique Skype dans une alerte publiée sur son site.

L’éditeur explique comment se débarrasser de ce ver particulièrement gênant, mais la manipulation est complexe, puisqu’il faut apporter des modifications dans le registre de Windows. Ce que de nombreux utilisateurs ne savent pas faire.

Ramex.a/Pykspa.d injecte du code dans Explorer.exe pour forcer l’activation du code malveillant, un fichier nommé wndrivsd32.exe. Autre particularité de ce ver, il empêche la mise à jour des logiciels de sécurité installés sur le poste.

La plupart des éditeurs (Kaspersky, F-Secure et Symantec) ont déjà publié des signatures permettant de corriger le problème.