Alors que le système Windows Genuine Advantage connaît un certain éclairage du fait de sa récente actualité, l’éditeur Sophos annonce l’arrivée d’un ver qui tire profit de sa médiatisation. Ce malware prend en effet la forme du WGA, module antipiratage de Microsoft, pour s’assurer d’une plus grande discrétion sur la machine affectée.

Cuebot-K, c’est son nom, rampe uniquement sur la messagerie d’AOL IM où il invite les utilisateurs à télécharger un fichier piégé. Une fois téléchargé et exécuté, le ver se double d’une porte dérobée pour permettre un accès par une machine distante, voire la transformer en maillon d’un réseau botnet. Il se copie dans le dossier système de Windows sous wgavn.exe. Il s’ajoute en outre à la liste des services sous le nom de Windows Genuine Advantage Validation Notification. Il modifie également la base des registres pour s’exécuter à chaque démarrage et tente de désactiver le pare-feu Windows pour opérer avec un maximum de tranquillité.


L’arrivée de ce malware est d’autant plus piquante que WGA, le vrai, fait l’objet d’un procès aux Etats-Unis. Un utilisateur vient d’initier une action collective affirmant que ce module sécuritaire de Microsoft serait lui aussi un spyware. Une procédure qui intervient alors que Microsoft a officiellement expliqué une méthode visant à désactiver ce module de notifications.