Un virus caméléon dans les logiciels d’échanges

Mobilité

W32/Gnuman.worm, également nommé Mandragore, est un virus d’un nouveau genre. Fichier exécutable, il se propage en empruntant le nom de la requête tapée par l’utilisateur de Gnutella. Heureusement, il se contente de se reproduire sans dommages. Pour le moment.

Un nouveau virus a été découvert le 26 février dans le système de partage de fichiers de Gnutella. W32/Gnuman.worm est peut-être le premier du genre (et d’une longue série ?) pour les logiciels d’échanges peer-to-peer comme Gnotella, ToadNode, BearShare ou encore LimeWire. Son fonctionnement est simple. Sous forme d’un fichier exécutable, il change de nom selon les intérêts de l’utilisateur. En fait, il s’installe en fichier caché dans le dossier « Démarrage » sous le nom de « gspot.exe » et se charge en mémoire à chaque fois qu’on allume l’ordinateur. Ensuite, lorsqu’un utilisateur se connecte à la machine hôte via Gnutella, W32/Gnuman.worm prend le nom de la requête tapée. Ainsi, si l’utilisateur client s’intéresse aux chansons de Madonna, le virus pourra prendre le nom de « madonna.exe ». Pensant avoir trouvé un programme forcément intéressant, le client téléchargera le « madonna.exe » trouvé, sur lequel il s’empressera de double-cliquer, s’infectant ainsi involontairement. Et cela sans même s’apercevoir de la tromperie.

Inoffensif et facile à éliminer

Pour le moment, la seule façon d’identifier ce doux virus, qui prend également le nom de Mandragore, est d’en repérer la taille qui reste fixe à 8 192 octets, quel que soit le nom emprunté. A mi-chemin entre le trojan (cheval de Troie) et le worm (ver), Mandragore est pour le moment inoffensif. Il se contente de se reproduire sans rien détruire à travers l’échange de poste à poste. Et pour s’en débarrasser, il suffit tout bêtement de le supprimer.

Quel est donc l’intérêt d’un virus qui se contente de « tromper » l’utilisateur ? Certains avanceront que les motivations des auteurs de virus ne sont pas toutes malintentionnées mais plutôt expérimentales. Des expériences qui préparent éventuellement le terrain à des applications beaucoup moins pacifiques. Mais en s’attaquant non pas aux logiciels d’échange mais aux fichiers échangés en les déguisant, ce type de virus est peut-être la parade à l’échange non contrôlé de fichiers. L’utilisateur qui n’obtient pas ce qu’il veut finit par se lasser et abandonne ou, mieux, va voir ailleurs… pour mieux propager le virus à son insu. Une parade contre la prolifération des logiciels d’échange de fichiers ?

Pour en savoir plus :La fiche technique du virus par McAfee (en anglais)