Avec plus d'un million de PC contaminés en 24 heures selon les éditeurs d'antivirus, Swen est le nouveau ver du moment. Il arrive dans un email infecté, en se faisant passer pour une mise à jour de Microsoft très bien imitée. Il profite ensuite d'une faille connue du couple Outlook / Internet Explorer pour s'exécuter automatiquement à peine le message vu. Il se propage aussi via IRC et Kazaa et neutralise certains antivirus.

au sommaire


    Le virus Swen imite Microsoft... et ca marche !

    Le virus Swen imite Microsoft... et ca marche !

    MicrosoftMicrosoft a beau expliquer sans cesse qu'il ne distribue jamais de logiciels par courrier électronique, rien n'y fait : dès qu'un ver se fait passer pour l'éditeur de Windows, il se trouve toujours quelques centaines de milliers de naïfs pour installer le prétendu "correctif" qui leur est providentiellement envoyé par email.

    Depuis quelques jours, le ver Swen utilise cette technique pour se propager, et ca marche : il aura déjà infecté 1,2 millions de PC en 24 heures selon l'éditeur d'antivirus F-Secure. A tel point que Microsoft a publié un démenti officiel, rappelant, si c'était encore nécessaire, qu'il n'envoie jamais rien par email.

    Mais le succès de Swen tient aussi à une foule d'autres détails qui contribuent à en faire un ver redoutable de crédibilité. Arrivant par un email signé Microsoft, le ver présente une page HTML très convaincante, aux couleurscouleurs de l'éditeur. Si le PC de sa victime est équipé du couple Outlook Express / Internet Explorer dans des versions vulnérables (Outlook 2000 pré-SR1, Outlook Express et Oulook 98 notamment), sa pièce jointe peut s'exécuter automatiquement une fois le mail affiché (tous les courriers n'utilisent pas ce piège). Sinon, il faut cliquer dessus. Swen infecte ainsi deux populations : les internautes naïfs qui auraient la chance d'avoir une version récente d'Outlook (ils cliqueront sur la pièce jointe de toute façon) et ceux plus avertis, qui n'auraient jamais exécuté le programme, mais dont Outlook est vulnérable : l'exécution sera alors automatique.

    Une interface très soignée

    Le ver affiche alors une série de boîtes de dialogue très convaincantes, qui vont guider la victime à travers l'installation (factice) du soi-disant correctif. En fait, c'est bien sûr le ver qui est installé, et ce même si l'utilisateur clique sur "Non" lorsqu'il lui est demandé s'il veut poursuivre l'installation.

    Une fois installé, le ver configure son propre serveurserveur SMTPSMTP pour envoyer ses emails. Il utilise pour cela la configuration de sa victime, qu'il trouve dans la base de registre de Windows. S'il ne parvient pas à trouver les informations nécessaires, il affichera une nouvelle boîte de dialogue, elle aussi très convaincante, qui les demandera à l'utilisateur en prétextant une erreur MAPI. Swen pourra alors s'envoyer à toutes les adresses email trouvées dans le carnet d'adresses, mais aussi celles qu'il pourra lire sur les pages HTML visitées par l'utilisateur, ainsi que sur des newgroups, auxquels ils se connecte seul !

    Le ver est aussi capable d'infecter les disques partagés qu'il trouve sur le réseau localréseau local. S'il détecte en outre que sa victime utilise IRCIRC pour dialoguer, il s'enverra automatiquement à chacun de ses correspondants, en se faisant passer pour le logiciel de compressioncompression Winzip.
    De même, si Swen voit que sa victime utilise Kazaa, il fabriquera de faux logiciels, jeux ou vidéos pornographiques (mais vraiment infectés !) qu'il ira déposer dans le répertoire d'échange de Kazaa.

    Enfin, pour se protéger, le ver neutralise plusieurs antivirus s'il les découvre sur le PC.

    Swen fait ainsi feufeu de tout boisbois pour se propager et il exploite plutôt bien la confiance des Internautes. C'est un vrai ver "d'ingénierie sociale", comme disent les pirates : il manipule les gens plutôt que les systèmes. Sa réalisation est très convaincante, et il représente un vrai piège pour les Internautes même dégourdis, puisqu'il peut s'exécuter automatiquement. Seule parade : mettre vos antivirus et votre Outlook à jour, ou changer de client email.

    Plus d'informations :
    - La description du virus chez F-Secure, avec des captures d'écran.
    - La page d'information sur Swen chez Microsoft.