Saint Valentin : le ver Nurech.A déclare sa flamme à sa manière
Doté de fonctionnalités rootkit, le ver tente de se propager le plus vite
possible, selon l’éditeur Panda qui a enclenché le niveau 2 d’alerte.
L’exploitation de la Saint Valentin n’échappe pas à la propagation de virus informatique, à l’image des annonces commerciales qui fleurissent bien avant le 14 février. Les laboratoires de sécurité de l’éditeur Panda alertent sur la propagation rapide du ver Nurech.A (W32/Nurech.A.worm exactement).
Détecté le 3 février 2007, « ce ver s’est propagé rapidement au cours des dernières heures et a déjà infecté des centaines d’ordinateurs », annonce l’éditeur. « Par conséquent, il est maintenant dans la liste des dix virus les plus détectés par ActiveScan, la solution antivirus en ligne gratuite de Panda Software ».
A l’heure de la rédaction de cet article, Nurech.A apparaissait en tête de la liste des agents infectieux de la société de sécurité. Face au risque d’infection, Panda a attribué le niveau deux (sur une échelle qui en compte quatre) à l’alerte virale.
Nurech.A se présente dans un courriel avec un entête aléatoire du type » Together You and I » (Ensemble toi et moi), « Everyone Needs Someone » (Tout le monde a besoin de quelqu’un) ou encore « Cyber Love » (Amour sur Internet). Les objets de message sont rédigés en anglais pour le moment. Le nom de l’expéditeur est également aléatoire mais c’est toujours celui d’une femme. Enfin, il est accompagné d’une pièce jointe exécutable qui se fait passer pour une carte postale virtuelle (« Flash Postcard.exe » ou « greeting postcard.exe »). Fichier qu’il ne faut surtout pas exécuter sous peine d’infection immédiate.
Nurech.A évite le gouvernement et les militaires
Une fois Nurech.A installé, le ver tente de désactiver les processus de sécurité du PC et recherche des adresses e-mails pour poursuivre sa propagation. S’il se contentait de se propager, l’infection ne serait que contrariante. Mais ses fonctionnalités rootkit le rendent particulièrement malicieux puisqu’elles lui permettent de rendre ses processus invisibles par le système.
Nurech.A semble donc avoir pour mission de se propager le plus largement et rapidement possible en vue d’une action ultérieure (constituer un réseau de PC esclaves, déclencher une attaque massive ou autre). Et le plus discrètement possible. Le ver prend en effet soin de ne pas se répliquer vers les adresses e-mail destinées au gouvernement (.gov) et aux militaires (.mil) afin de ne pas attirer l’attention des instances gouvernementales liées à la sécurité.