Осторожно, новый вирус!

[Яна]

От Judyth

Attention! C'est le virus W32/Bugbear@mm, aussi connu sur le nom Tanatos, qui parcourt le monde depuis le 30 septembre et semble avoir commence dans le monde des traducteurs, malheureusement. J'en ai recu une cinquantaine de copies -- heureusement sur mon Mac immunise et non sur un ordinateur sous Windows mal protege -- dont la grande majorite me parvenait des traducteurs.

Ce virus est tres, tres dangereux et pas seulement parce que c'est tres repandu. Voici une description:

1. Il se transmet avec une adresse de retour faussee (une combinaison de deux adresses de courriel prises du disque dur infecte) et avec un texte pris d'un message reel stocke sur l'ordinateur, donc ca peut apparaitre comme un message legitime d'une liste ou d'un collegue. Le fichier joint porte un nom
variable et deux extensions - ex. "texte.doc.pif" - qui est bonne raison pour ne pas permettre a Windows de cacher les extensions, parce que si la deuxieme indique un fichier executable (.exe. .scr., .pif et le reste) c'est presque toujours un virus.

2. Il existe dans deux versions principales. La premiere, que vous avez recue, comporte la balise "iframe" qui lance automatiquement le fichier infecte s'il se trouve dans Outlook Express sans le correctif (emis en 2000) pour le trou securitaire "incorrect MIME header"; ce n'est même pas necessaire d'ouvrir le message pour le lire! Dans un OE avec le correctif ou un autre logiciel de courriel, ce n'est plus automatique. La deuxieme ne se lance pas: il faut l'utilisateur naif pour le faire marcher.

3. Ce virus n'est pas une blague pour vous incommoder un peu. C'est un petit logiciel tres comprime pour faire du vrai mal. Il y a une partie pour repandre l'infection comme tous ces virus de nos jours mais aussi

- du code pour arreter votre logiciel antivirus (une douzaine de marques) afin d'echapper la detection

- du code qui enregistre vos frappes au clavier dans un fichier qu'il envoit a une d'une douzaine d'adresses du genre "e-mail gratuit sur le Web" -- ce qui donne a l'auteur votre nom d'utilisateur, vos mots de passe, peut-être votre carte de credit ou votre compte de banque...

- du code qui installe une "porte arrière" sur le port 137 qui permet au createur d'entrer dans votre ordinateur pour faire n'importe quoi, y compris l'utiliser (avec les milliers d'autres infectes) pour s'attaquer a des reseaux, des sites Web, les systemes de controle de satellite ...

- du code qui branche votre ordinateur au site Web de son createur afin de telecharger une "mise a jour" du virus s'il y a lieu

La "bonne" nouvelle est que les adresses et le site sont maintenant abandonnes mais sans doute cette personne a reussi tres bien dans les premiers jours du virus.

4. A part cela, il y a question de la confidentialite violee. Entre les copies que j'ai recues personellement etait un message comportant le nom d'utilisateur et le mot de passe de la personne infectee (que je connais ici à Montreal) pour un compte sur Internet et la commande envoyee par un client a VOLPE EVA MARIA qui traduit de l'italien en allemand qui sans doute infecte mais pour laquelle je n'ai pas d'adresse.

En bref, ce n'est pas beau et il n'est pas possible d'avertir la personne infectee si vous n'avez pas autre part son adresse de courriel. Donc, si vous utilisez Windows en toute version après 3.1 et surtout si vous n'avez pas installe tous les correctifs necessaires pour vos logiciels et vous n'avez pas deja verifie votre systeme et mis a jour votre antivirus cette semaine :

- Aller tout de suite a http://www.securityspace.com/smysecure/bugbear.html
pour une verification en ligne que vous n'etes pas infecte. (C'est en anglais mais je ne connais pas un equivalent francais et le lien pour vous desinfecter mene à sophos.com ou sont des explications en francais.)

- Mettre a jour votre antivirus existant ou en telecharger un autre immediatement. Vous arranger pour visiter automatiquement ce site en demarrant l'ordi le matin pour savoir s'il faut une autre mise a jour. Vous abonner aux alertes par courriel.

- Aller tout de suite au site de Microsoft pour lire les quatre (peut-etre c'est deja cinq!) nouveaux bulletins techniques sur de nouveaux problemes de securite. Bien lire les instructions en ce qui concerne les bons correctifs pour votre systeme. Installer les correctifs. Vous abonner aux alertes par courriel -- de preference en ne pas utilisant le methode de Passport qui certains pose de risques lui-même.

- Rechercher avec un moteur de recherche au besoin 2-3 autres sites fiables fournissant des nouvelles sur la securite informatique et vous y abonner aussi. (La vitesse est essentielle - j'ai recu mon premier message infecte le matin du 1 octobre, la premiere alerte le 2, et la derniere seulement HIER, ce qui veut dire que si j'etais infectee et ne le savais pas, j'aurais envoye l'infection a au moins 5000 personnes pendant la semaine de retard! Donc c'est bon d'avoir plusieurs sources d'information au lieu d'attendre qu'un fabricant particulier vous avertit.)

- Pensez a l'installation d'un pare-feu si vous n'en avez pas deja. Ce n'est pas un antivirus mais une protection supplementaire contre un Bugbear qui veut utiliser votre connexion pour voler des donnees ou pour fouiller dans votre ordinateur afin de nuire a d'autres.

Esperant que ceci vous aidera,

Judyth la pomme




(Отредактировал(а) Яна - 12:01 - 17 Окт., 2002)