Une nouvelle variante du virus Kelvir vient de débarquer sur nos écrans : kelvir.AZ. Le malware prend pour bouillon du culture MSN Messenger (Windows, sous toutes ses versions). Pour mener à bien ses funestes projets, il repose sur un mode d'infection qui se résume à un simple lien envoyé à l'utilisateur :

lol you'll like this
http://[divers].templates4frien*****/gallery.php?email=[login]@hotmail.com.

S'il clique sur le lien, un fichier nommé "[login]@hotmail.com" est proposé en téléchargement. Ce fichier n'est pas une adresse de messagerie mais bien un fichier .Com de 105Ko. Une extension idéale pour tromper la faible vigilance des débutants, notamment. Une fois exécuté, il installe en outre une variante du ver Spybot et le lien piégé est proposé automatiquement à l'ensemble des contacts MSN.

Le malware va alors tenter de terminer prématurément tous les services et les programmes dédiés à la sécurité du PC : Norton antivirus, PC Cilin Personal Firewall, McAfee antivirus, Sophos Antivirus, eTrust Antivirus, Kaspersky, AVG6, etc. (liste complète). Pour finir son œuvre virale, il ouvrira une porte dérobée pour permettre la prise de contrôle à distance de la machine hôte...

Le site de sécurité Secuser précise que "suite à notre intervention, la page web utilisée pour provoquer le téléchargement du virus a été supprimée par le propriétaire du serveur, qui a vraisemblablement été victime d'un piratage de la part de l'auteur du virus ". Il recommande de rester vigilants vis-à-vis des liens hypertextes contenus dans les messages, car " l'auteur du virus s'est engagé dans une stratégie de multiplication des variantes qui même si elles ne connaissent pas toutes une propagation importante risquent d'atteindre ponctuellement l'utilisateur dont un contact se serait laissé piéger ".

(Merci à DotNet !)