Skype aux prises avec un virus de 'chat'

11/09/07 à 09:00 - Mise à jour à 08:59

Source: Datanews

Il semble qu'un virus circule sur le réseau de Skype et qui, une fois en place, établit de sa propre initiative une communication en messagerie instantanée avec les contacts de l'utilisateur, en vue de les contaminer eux aussi.

Il semble qu'un virus circule sur le réseau de Skype et qui, une fois en place, établit de sa propre initiative une communication en messagerie instantanée avec les contacts de l'utilisateur, en vue de les contaminer eux aussi.

Ce maliciel (malware), actif depuis hier matin, a été signalé sur le forum de Skype. L'infection a été officiellement confirmée par Skype même. Le ver s'appelle w32/Ramex.A. Skype a signalé que F-Secure et Kaspersky ont entre-temps actualisé leurs produits antivirus afin qu'ils identifient et suppriment le maliciel. L'entreprise décrit également une façon de se débarrasser manuellement du ver. Selon Skype, il s'agit d'un maliciel 'intelligent' qui se présente sous diverses formes.

Selon les utilisateurs du forum, dès son installation, le virus veille à ce que le logiciel Skype établisse à l'arrière-plan une liaison avec toutes les personnes figurant sur la liste des contacts et tente de les amener à ouvrir une image jpeg ou un économiseur d'écran - il s'agit dans tous les cas d'un fichier scr. Les contacts sont assez vite incités à tomber dans le piège tendu, parce qu'ils pensent que ce lien émane d'une connaissance. Il existerait différentes versions du virus: dans certains cas, la victime voit apparaître un mot d'excuse à l'écran indiquant que le lien était en fait destiné à quelqu'un d'autre et invitant amicalement à ne pas cliquer dessus. Ce truc semble bien fonctionner, puisque plusieurs utilisateurs indiquent ne pas avoir pu résister à la curiosité.

Comme le ver s'active de lui-même en tant que protection d'écran par défaut, le maliciel opère également après la clôture de Skype et l'activation de l'économiseur d'écran. Le virus tente non seulement de s'envoyer par lui-même, mais désactive aussi toute protection antivirus éventuelle et modifie en outre le fichier hôte de la victime. Il en résulte que les sites d'entreprises de sécurité comme Kaspersky et Symantec deviennent inaccessibles.

Le maliciel, reconnaissable à la présence des processus windrivs32.exe et mshtmldat32.exe, semble avoir encore davantage de flèches à son arc. Il serait ainsi capable de s'opposer au lancement de l'éditeur Windows Registry, ainsi qu'à celui du gestionnaire de tâches en appuyant sur control-alt-delete. Si l'utilisateur parvient à démarrer manuellement le programme taskmgr.exe, l'ordinateur se réamorce soixante secondes après l'expiration du processus windrivs32.exe. Skype conseille dès lors de démarrer l'ordinateur en mode de sécurité, afin que les étapes de suppression du virus puissent se dérouler normalement. Seuls les systèmes Windows XP pourraient être contaminés par w32/Ramex.A.

En collaboration avec [Computable]

Nos partenaires