Un nouveau virus, nommé Palyh a fait son apparition et se répand rapidement, tant par courriel que réseau interne. Ce qui le rend particulièrement insidieux est sa provenance apparente. En effet, l'expéditeur affiché du courriel est support@microsoft.com.
Palyh se propage par le biais d'un fichier joint à un courriel. Il peut aussi s'installer sur les différents ordinateurs d'un réseau local (LAN). Le ver devient actif lorsqu'un utilisateur ouvre le fichier joint au courriel servant à sa distribution.
Lorsqu'il s'installe, le ver se reproduit dans le répertoire Windows sous le nom MSCCN32.EXE. Il enregistre ce fichier dans la clé autorun du registre Windows de façon à être placé dans la mémoire du système et à être lancé automatiquement au démarrage de Windows. À cause d'une faille dans sa programmation, il arrive que le ver s'installe dans un répertoire autre que Windows. Dans ce cas, la fonction autorun n'est pas déclenchée.
Après s'être installé, le ver commence son processus de dissémination. Pour se répandre par courriel, le ver recherche sur l'ordinateur infecté les fichiers ayant une extension TXT, EML, HTML, HTM, DBX ou WAB et choisit les lignes d'informations qui semblent être des adresses de courriel. Le ver utilise alors directement le serveur SMTP, plutôt que le logiciel de courriel utilisé sur l'ordinateur infecté, pour expédier des copies de lui-même aux adresses trouvées.
Tous les courriels infectés expédiés par le ver contiennent l'adresse d'expédition falsifiée support@microsoft.com. Cependant, la ligne objet des messages varie, tout comme le contenu du message et le nom du fichier joint. Ce dernier a toujours une extension .PI ou .PIF (par exemple, PASSWORD.PIF), même si en fait il s'agit de fichiers exécutables ayant normalement une extension .EXE.
Palyh profite du fait que les utilisateurs ont généralement l'impression qu'un fichier ayant l'extension .PIF n'est pas dangereux, en plus de profiter d'une faiblesse de Windows. En effet, les créateurs de virus savent fort bien que Windows ne traite pas les fichiers en se basant sur leur extension, mais bien sur leur format interne. En d'autres mots, l'extension importe peu et ce n'est pas parce que le nom d'un fichier ne se termine pas par .EXE qu'il ne faut pas s'en méfier.
On ne peut pas dire, à ce stade-ci, que Palyh soit dangereux. En effet, il n'est pas conçu pour détruire les données, mais plutôt pour se répandre à grande échelle. Cependant, il comporte aussi des caractéristiques lui permettant de télécharger des composantes additionnelles en provenance d'un serveur Web. Il pourrait ainsi télécharger une nouvelle version de lui-même, ou des ajouts tels que des logiciels espions, permettant d'obtenir de l'extérieur des données personnelles des ordinateurs infectés.
L'auteur de Palyh a aussi intégré au programme un déclencheur temporaire. Toutes les routines exécutables du ver - à l'exception de celle permettant sa mise-à-jour - ne sont actives que jusqu'au 31 mai 2003. Cette particularité condamne effectivement le ver puisque le serveur en provenance duquel il télécharge ses composantes sera fermé sous peu.
Source: Canoë et Benoit Bisson
Cliquez ici pour voir 1 exemple d'e-mail reçu.
