Alerte : Palyh, encore un ver / virus ‘mass-mailer’ !

Pierre Mangin,

Baptisé également Mankx/Sobig.B, un ver a commencé à se répandre ce 19 mai, extrêmement rapidement via les réseaux Microsoft -constatent Sophos et F-Secure

Décidément, Microsoft n’a pas de veine! L’e-mail infectant a pour adresse d’expéditeur: support@microsoft.com, et contient le simple texte :

« All information is in the attached file » (cf. image ci-dessous) Le ver/virus se répand extrêmement rapidement (environ 3.500 machines par heure) via les e-mail ou via les réseaux Microsoft, d’où son appartenance à la catégorie des virus mass-mailer. Il se met à jour automatiquement via 4 sites web et peut donc muter ou installer des chevaux de Troie. Il a été classé niveau 1, par F-Secure: car il se propage très vite, semble-t-il, via les dossiers partagés de Windows. Plus virulent que Fizzer? Comme Fizzer, il intègre un module serveur SMTP par lequel il renvoie la même pièce jointe à toutes les listes d’adresses qu’il rencontre. Le fichier joint est un document « .pif » : la plupart des systèmes de protection installés dans les entreprises détectent ce format et le mettent en quarantaine. Le risque est alors minime. Sophos, éditeur d’anti-virus, constate: « La mesure de sécurité doit au minimum concerner les fichiers PIF qui, lorsqu’ils sont authentiques, ne sont que des raccourcis vers d’autres programmes de l’ordinateur et n’ont donc aucune raison d’être envoyés par e-mail. » Ecrit en Visual C++, compressé en UPX, il pèse 110k environ. Il ne s’active qu’après ouverture du document attaché. Il s’installe dans un répertoire Windows sous le nom : « msccn32.exe« . F-Secure constate qu’il a entraîné plus d’appels que Fizzer. Il pourrait être plus « efficace ». Mais pas de dégats apparents: il encombre les réseaux, pouvant aller jusqu’à les congestionner. Selon l’instruction désormais bien connue: il ne faut surtout pas ouvrir la pièce jointe! Plus rapide que Klez… « « Le ver se répand de plus en plus rapidement depuis hier matin. A 13:00 la société MessageLabs signalait avoir bloqué 18.000 emails infectés dès le milieu de journée« , explique Eugenio Correnti, directeur Technique de F-Secure France. « Nous avons reçu 3.500 messages infectés dans la dernière heure (…) Nous pouvons déjà affirmer que c’est le ver qui se répand le plus rapidement, devant Fizzer et Klez. » Pour plus d’informations: https://www.sophos.fr/virusinfo/analyses/w32palyha.html https://www.f-secure.com/v-descs/palyh.shtml