Yahoo Mail est la cible d’un virus

Dénommé S.Yamanner@m par Symantec, JS/Yamanner@MM par McAfee, ou encore JS_YAMANER.A par Trend Micro, ce ver que la majorité des éditeurs ont découvert au même moment, a été écrit en Javascript. Il exploite une vulnérabilité dans le service Yahoo Mail pour se propager à l’ensemble de la liste de contact.

Détecté lundi 12 juin, par Yahoo et les principaux concepteurs de logiciels antivirus, Yamanner est qualifié de menace de faible niveau par les concepteurs de logiciels antivirus Trend Micro et McAfee. Mais Symantec le qualifie de « menace importante », deuxième degré sur l’échelle croissante définissant le danger représenté par le virus. À noter que ce ver ne peut pas contaminer la dernière version bêta de Yahoo Mail, et plusieurs correctifs sont déjà disponibles. Voilà comment ledit ver procède : dans un premier temps, il arrive sur la machine compromise comme un email HTML contenant du javascript. Il a les caractéristiques suivantes : dans l’en-tête on peut lire en anglais, provenance : variable, Sujet : nouveau site graphique (New Graphic Site), Corps du Message : une pièce jointe est associée à ce mail. Une fois qu’il a été ouvert, le ver exploite une vulnérabilité dans le service Yahoo Mail pour lancer un script. Il se copie dés lors à l’ensemble des contacts de la liste de sa victime. Il cible plus particulièrement les autres utilisateurs de Yahoo Mail et donc les adresses suivantes : @yahoo.com ou les domaines @yahoogroups.com. Ensuite il contacte l’URL (https://]www.av3.net/index.htm) et lui retourne l’ensemble des données récupérées. Chez Yahoo l’on est embarrassé, mais l’on a joué la carte de la transparence, estimant que le virus avait contaminé « une très petite fraction » de sa base de clients, qui compte plus de 200 millions de comptes. Le danger réside dans le fait qu’il suffit que le courrier électronique contenant le virus soit ouvert – ce qui contraste avec la plupart des vers, cachés dans des pièces jointes et dont l’activation nécessite donc une action supplémentaire de l’utilisateur – pour que ce dernier soit libéré, selon le spécialiste de la sécurité informatique Symantec Corp. Yahoo a recommandé à ses utilisateurs de télécharger les versions actualisées de leurs logiciels antivirus et de bloquer tout courriel provenant de l’adresse suivante: « av3@yahoo.com ». « Nous avons pris des mesures pour régler ce problème et protéger nos utilisateurs de nouvelles attaques de ce ver », a déclaré une porte-parole de Yahoo, Kelley Podboy, dans un communiqué. « Quand nous sommes informés de menaces informatiques telles qu’un virus, nous prenons les mesures appropriées », a-t-elle ajouté. « Une solution a été automatiquement distribuée à tous les utilisateurs de Yahoo Mail, et aucune autre mesure n’est nécessaire de la part de l’utilisateur. » Enfin, Yamanner touche : Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP.