Win32.HLLM.Limar se multiplie et se propage

La lettre d'information de Dr.Web nous demande de rester prudent face aux attaques virales. En effet, une attaque de grande ampleur a été causée par la propagation de plusieurs dizaines de variantes de Win32.HLLM.Limar, ver de mass-mailing (aussi connu sous le nom de Email-Worm.Win32.Warezov, Win32/Stration.6wm!Worm) qui continue encore en cette fin d’octobre.

Les éditeurs d’anti-virus n’ont pas connu une telle épidémie depuis la fin du mois de juin de cette année avec la variante du ver Win32.HLLM.Beagle. Celle-ci comportait un rootkit et s’est propagée à très grande vitesse. Mais l’ampleur de l’attaque perpétrée par  Win32.HLLM.Limar a surpris tout le monde.

Certains jours, le nombre de mails contaminés par  le ver a atteint 70% du trafic des mails infectés sur la partie Internet Russe. La propagation de ce ver a commencé lentement au mois de septembre. La situation s’est dramatiquement dégradée à partir du milieu du mois d’octobre lorsque, des jours durant, plusieurs nouvelles variantes de Win32.HLLM.Limar sont apparues. Celles-ci se sont repandues non seulement par mail, mais également via les canaux ICQ, par des liens de téléchargement. De plus, l’auteur du ver change constamment son code rendant la détection très difficile par les éditeurs d’anti-virus.

Les experts du service de Veille Antivirale de Dr.Web ont créé des entrées particulières dans la base de données de Dr.Web afin de détecter toutes les variantes du ver (Win32.HLLM.Limar.based).

Autre évènement marquant de ce mois d’octobre, l’apparition du virus Win32.HLLP.Sector.20480. Ce virus infecte les fichiers présents sur les disques locaux et réseau, dont l’extension est EXE et SCR. Ce virus contient une liste cryptée de liens depuis lesquels les chevaux de Troie suivants peuvent être téléchargés : Trojan.Proxy.956, Trojan.Spambot et Trojan.PWS.GoldSpy. Ces derniers ont été créés afin d’envoyer du spam depuis des systèmes infectés et dérober les mots de passe du système de paiement E-Gold. Ce virus bloque le système de détection de certains anti-virus d’une manière originale – il affiche un message d’erreur et s’attribue aléatoirement des zones de mémoire jusqu’à saturer celle-ci.

A noter également l’apparition du ver de réseau kMeth, nommé par Dr.Web Win32.HLLW.Texmer. Ce ver se répand via Yahoo! Messenger, Windows Live Messenger et Windows Messenger, envoyant des liens contaminés à tous les contacts de l’utilisateur infecté. Le lien contenu dans ces messages pointe vers un script dangereux. Une fois exécuté le corps du vers est téléchargé sur l’ordinateur de la victime, ainsi que le programme mettant à jour le ver. Le système n'est infecté que si Internet Explorer est utilisé pour les consultations de page web. La détection de ce script a été ajoutée à la base de données virales de Dr.Web en tant que VBS.Psyme.269. Ce ver a été créé par des cyber-criminels afin de percevoir des rétributions versées par Google, au titre de bannières publicitaires. Le ver Win32.HLLW.Texmer est intéressant non pas par la technologie employée mais plutôt du point de vue éthique.