vlan.org

Webzine des anciens étudiants de l’IUT Serecom St-Raphaël

Accueil > Actu > Mimail.c, un virus qui vole les mots de passe et identifiants (...)

Mimail.c, un virus qui vole les mots de passe et identifiants d’Internet Explorer

mardi 4 novembre 2003

La menace Mimail.c se propage sur internet : ce virus-ver, déguisé en un e-mail de photos de plage, s’installe sur les PC dotés de systèmes Windows puis s’empare des mots de passe et identifiants enregistrés par le navigateur de Microsoft.

Les éditeurs de logiciels antivirus alertent leurs clients sur la dangereuse propagation, depuis le 31 octobre, d’un virus-ver qui se fait passer pour un message soi-disant illustré de photos de plages "privées". Il a déjà pris pour cible plusieurs dizaines de machines en France ; une forte contamination est attendue ce lundi 3 novembre.

Baptisé "Mimail.c" ("W32.Mimail.c@mm", ou encore "W32.Bics.A" et "I-Worm.WatchNet"), il infecte les ordinateurs qui fonctionnent avec le système d’exploitation Windows (95, 98, ME, NT, 2000, Server 2003 et XP). Les Macintosh et les PC sous GNU/Linux ne sont donc pas concernés. ZDNet lui attribue un indice de dangerosité de 6 sur une échelle de 10.

Ce virus n’est pas inconnu puisqu’il s’agit de la troisième et la plus dangereuse variante du ver Mimail.a, découvert en août dernier. Il se propage sous la forme d’un e-mail facilement reconnaissable car son objet, en anglais, est : "Re[2] : our private photos ???", suivi de lettres aléatoires.

Il est accompagné d’un message d’un certain James, indiquant que des photos de plages "déshabillées" sont founies en pièce jointe. Bien entendu, cliquer sur le fichier joint, compressé au format .Zip, libère le virus et déclanche l’infection. Sans l’ouverture de cette pièce jointe, l’e-mail reste inoffensif ; il suffit donc de le supprimer pour s’en protéger.

Vol de données stockées par Internet Explorer

En revanche une fois activé, Mimail.c scanne tout le système à la recherche de fichiers contenant des adresses électroniques, vers lesquelles il va se renvoyer via son propre moteur SMTP. Comme tout "mass-mailer", le premier effet de ce ver est donc de ralentir, voire saturer les réseaux.
Il se duplique également dans les fichiers de démarrage du système afin d’être lancé chaque fois que l’ordinateur est allumé.

Mimail.c va, par ailleurs, tenter de voler les informations personnelles que l’utilisateur a demandé à Internet Explorer de retenir. Il cherchera à obtenir mots de passe et identifiants qu’il va transmettra à plusieurs adresses internet, présumées sous le contrôle de l’auteur du virus. Il détruit ensuite le fichier contenant ces données.

Enfin, ce virus lance également une attaque par saturation de type refus de service (DoS, Denial of Service) à l’encontre de quatre sites internet américains : darkprofits.com, darkprofits.net, darkprofits.com et darkprofits.net. Il s’agit de sites humoristiques, très sarcastiques à l’encontre des "spammeurs" et des "hackers".
Concrètement, chaque PC contaminé envoie des paquets de données aux serveurs hébergeant ces sites afin de les rendre inopérants. Cela semble fonctionner puisque lundi midi, aucun de ces sites n’était accessible.

Les éditeurs de logiciels antivirus recommandent à leurs clients de mettre à jour leur programme ; des additifs sont d’ores et déjà disponibles.
Aucune procédure d’éradication manuelle n’a pour l’instant été communiquée, mais Symantec fournit un petit utilitaire à télécharger qui permet de supprimer Mimail.c du système.

Christophe Guillemin


Voir en ligne : Article de ZDNet - 03/11/2003

Un message, un commentaire ?

modération a priori

Ce forum est modéré a priori : votre contribution n’apparaîtra qu’après avoir été validée par un administrateur du site.

Qui êtes-vous ?
Votre message

Pour créer des paragraphes, laissez simplement des lignes vides.