Gibe, ou I-Worm.Gibe, W32,Gibe@mm ou encore W32/Gibe.A@mm, est un ver qui se propage par e-mail en se faisant passer pour une mise à jour de Windows. Ecrit en Visual Basic, Gibe s’adresse aux « Microsoft Customer » (client Microsoft) avec l’objet « Internet Security Update ». Le contenu du courrier est d’autant plus trompeur que le discours employé s’attache à être ennuyeusement réaliste.
L’auteur du virus rappelle que la fonction des Security Update est de corriger les failles d’Internet Explorer et d’Outlook tout en faisant référence au bulletin de sécurité n° MS02-005. S’ensuit une longue description technique des problèmes soi-disant rencontrés et des risques encourus en cas de contamination sur un système non mis à jour. Ensuite, l’auteur invite l’utilisateur à lancer le fichier « q216309.exe » livré en pièce jointe du mail. Fichier à ne surtout pas activer sans quoi Gibe commence sa propagation sur votre disque dur. Dans le cas contraire, le programme ouvre une fenêtre invitant l’utilisateur à poursuivre l’installation de « Microsoft Security Update ». Qu’on clique sur « Yes » ou sur « No », le ver est déjà dans le fruit. Gibe ne manque pas d’humour puisque, si le système est déjà infecté, le programme ouvre une fenêtre pour signaler que « la mise à jour n’a pas besoin d’être effectuée ». Les victimes sauront apprécier cette petite raillerie.
Rappelons à toutes fins utiles que si Microsoft informe effectivement ses clients par e-mail d’un nouveau bulletin de sécurité, il n’envoie jamais de fichier attaché, encore moins exécutable. Et Windows Update est un service qui interroge les serveurs de l’éditeur à la demande de l’utilisateur, et non l’inverse. Bref, un courrier généraliste de Microsoft avec une pièce jointe s’associe dans la quasi-totalité des cas à un message infecté. A mettre à la poubelle immédiatement.
Pas méchant… au début
A priori, Gibe ne semble pas destructeur. Selon le site anglais F-Secure, il se contente d’installer un certain nombre de fichiers (Q216309.exe, BcTool.exe, WinNetw.exe, GfxAcc.exe, Vtnmsccd.dll et MSWinsck.ocx) qui vont récolter les adresses e-mails trouvées sur le disque pour s’auto-envoyer. Rien de bien méchant donc. Et la suppression des fichiers suffirait à éradiquer ce virus. Sauf que, toujours selon F-Secure, le fichier « GfxAcc.exe » est un composant backdoor. Autrement dit, une porte discrètement ouverte sur l’ordinateur personnel pour permettre un accès distant. Gibe réserve donc probablement plus de surprises qu’il ne le laisse croire.
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…