Une faille connue de Windows XP exploitée par un cheval de Troie
Une vulnérabilité de Windows XP SP2 découverte en octobre pourrait s’avérer critique bien que Microsoft n’ait pas jugé nécessaire d’y apporter un correctif. Mais les experts sont partagés sur le sujet.
Découvert fin décembre 2004, le cheval de Troie Trojan.Phel.A – Phel pour les intimes – se présente sous la forme d’un fichier HTML. Il tente d’exploiter une faille de sécurité d’Internet Explorer 6 (Windows XP SP2) découverte en octobre dernier et relative aux autorisations d’accès aux zones locales du navigateur. Une vulnérabilité à laquelle Microsoft n’a pas jugé utile d’apporter un correctif, estimant qu’elle ne présentait pas un niveau de danger assez important. L’éditeur d’antivirus Symantec a également classé Phel comme peu dangereux et peu répandu. D’autres spécialistes de la sécurité informatique ne sont pas du même avis : pour K-Otik Security , cette faille est « critique » dans la mesure où elle peut être exploitée sans aucune interaction de l’utilisateur. Comme tout bon cheval de Troie, Phel est capable, une fois infiltré sur un ordinateur, de télécharger des fichiers distants et de les exécuter, avec tous les risques que cela comporte.Prévenir et guérirPour l’heure, il existe peu de moyens de se prémunir d’une éventuelle infection par ce cheval de Troie. K-Otik conseille aux utilisateurs de passer la sécurité de la zone Internet au niveau « Elevé » (Outils – Options Internet – Sécurité – Personnaliser le Niveau), ce qui risque de poser quelques problèmes pour la navigation, ou bien de changer de butineur. Pour cette dernière option, on ne saurait trop vous conseiller l’excellent Firefox, qui semble pour le moment immunisé contre tous les codes malins en circulation.De son côté, Symantec préconise la désactivation de tous les services non nécessaires à l’utilisation courante d’un ordinateur (serveurs FTP, Web et Telnet). D’autre part, l’éditeur a mis à jour ses outils de détection de virus et propose une solution, réservée aux utilisateurs avertis, pour se débarrasser du parasite en cas d’infection. Après avoir désactivé le système de restauration de Windows XP et mis à jour les définitions de virus, il suffit de lancer un scan avec l’antivirus de l’éditeur et de supprimer tous les fichiers Trojan.Phel.A. Il ne restera alors plus qu’à effacer la valeur « uwyrl » = « %System%uwyrl.exe » dans la clé de registre HKEY_LOCALMACHINE Software Microsoft Windows CurrentVersion Run.