Le ver « Here You Have » privilégie l’assaut par mail

De grands éditeurs de solutions de sécurité comme Symantec et McAfee ont identifié une nouvelle menace sur le Net.

Le ver « Here You Have » (W32.Imsolk.B @ mm) arrive par la messagerie. Un e-mail, censé proposer un lien vers un fichier PDF, cache en fait un programme malveillant (un fichier en « .scr »).

Il suffit de cliquer sur le lien pour que le malware tente de désactiver les logiciels de sécurité, avant de s’envoyer à tous les contacts d’un carnet d’adresses.

C’est assez fallacieux puisque les messages « porteurs du lien vers le programme malware » proviennent d’un contact connu par l’utilisateur et peuvent revêtir différentes formes du type :

» Subject: Here you have
Body: This is The Document I told you about, you can find it Here. [link] Please check it and reply as soon as possible.
Cheers, »

Même si la contagion peut être rapide, McAfee a considéré cette alerte dans la catégorie « moyenne importance ».

Les conséquences peuvent être importantes en cas d’intrusion du ver dans le système de messagerie d’une entreprise.

Du coup, McAfee leur adresse deux recommandations : filtrer « le lien maudit intégré dans le mail » au niveau de leurs passerelles de sécurité et serveurs de messagerie et bloquer le processus de création de fichiers « .scr » au niveau de leurs systèmes.

Selon Symantec, la propagation peut se transmettre via un simple réseau local (copie sur les lecteurs de partage).

L’éditeur des solutions Norton précise de son côté qu’il est préférable de désactiver « le partage de réseaux et/ou déconnecter les ordinateurs infectés à partir du réseau local et Internet », « bloquer le trafic sortant vers les domaines / adresses IP », et « désactiver la lecture automatique des fichiers sur le réseau ».