Une nouvelle variante de Netsky tente d’amadouer l’internaute en s’adaptant à sa langue. L’e-mail piégé peut ainsi transformer le texte de son objet et son corps dans une dizaine de langages, dont le français et l’allemand.
Avec la famille Netsky, les auteurs de virus n’en finissent plus d’imaginer des moyens toujours plus performants pour augmenter la capacité de nuisance de leur création. Dernier exemple en date: Netsky.X, apparu le 20 avril sur le net. Cette variante, qui reprend 80% du code initial, est capable de s’adapter au langage de sa cible.
Les cas d’infections touchent principalement l’Europe. Mais plus que l’ampleur de l’épidémie, pour l’instant très faible avec moins de 150 cas d’infections recensés par Trend Micro, les experts en sécurité pointent du doigt son innovation technique.
«La particularité de Netsky.X réside dans le fait qu’il s’agit d’un des premiers vers multilingues. Nous pensons que cela a été fait par le créateur afin d’attiser un peu plus la curiosité des utilisateurs, qui ont tendance à supprimer automatiquement tout message n’étant pas dans la langue du pays dans lequel ils se trouvent», explique ainsi Eugenio Correnti, directeur technique de F-Secure France.
Une adaptation en fonction du nom de domaine
Netsky.X cible les systèmes fonctionnant sous Windows (95 à XP); ceux équipés de MacOS ou d’un OS Linux sont donc épargnés. Il arrive très classiquement sur le PC sous la forme d’un e-mail piégé avec le virus dissimulé dans la pièce jointe au format PIF. Le virus s’active si l’utilisateur clique sur cette dernière. Et tout est conçu pour qu’il le fasse.
L’objet et le corps du message, par défaut en anglais, vont être modifiés en fonction du nom de domaine de l’adresse électronique ciblée. Ainsi, si elle possède l’extension « .fr », l’objet du message sera « Re: document » et son corps « Veuillez lire le document ».
Selon le même principe, il s’adapte en suédois, finlandais, polonais, norvégien, portugais, italien, français, allemand, ainsi que dans la langue de deux îles de l’Atlantique appelées Turks et Caïcos. Curieusement, l’espagnol n’est pas pris en compte. Le créateur semble, par ailleurs, avoir traduit le corps du texte à travers un service en ligne de type Babel Fish, car les traductions sont très approximatives, remarque F-Secure.
«Les vers multilingues sont rares mais il y a eu quelques précédents», commente pour ZDNet Marc Blanchard, chercheur chez Kasperky. «Nous avons observé ainsi des vers qui s’adaptaient, comme Netsky.X, mais en fonction par exemple du langage de Windows. Ce qui est certain c’est qu’il ne faut pas réduire sa vigilance lorsqu’un message est en français.»
Inoffensif pour la machine infectée
Une fois activé, Netsky.X va chercher des adresses électroniques contenues dans certains répertoires de tous les disques durs intégrés ou connectés à la machine. Il se renvoie alors à toutes ces adresses au moyen de son propre moteur SMTP (Simple Mail Transfer Protocol). Il ajoute également des instructions dans la base de registre pour se lancer à chaque démarrage de la machine.
Ce virus ne détruit ou n’altère aucune donnée sur le système. Il ouvre, en revanche, le port réseau TCP 82 afin de pouvoir lancer une attaque par déni de service distribuée (DDOS), programmée entre le 28 et le 30 avril sur des sites d’éducation (nibis.de, medinfo.ufl.edu, educa.ch). Rappelons que le principe de ce type d’attaque est de saturer les serveurs web, en leur envoyant un grand nombre de requêtes depuis la multitude d’ordinateurs infectés.
Comme à l’accoutumée, les éditeurs invitent leurs clients à mettre à jour la base de signatures de leurs logiciels antivirus, si cela n’est pas réalisé automatiquement, pour se prémunir d’une éventuelle attaque de Nestky.X. Toutefois, même sans cette opération, les détections de type comportemental, utilisées notamment par les produits de Tegam ou Symantec, repèrent facilement ce ver. La plupart des systèmes semblent donc protégés.
Source CNet news