Le Moustique Volume 5 - 3° Edition ISSN 1496-8304 Mars 2002

If Ouittel” ep “en -Lyone! —

Information pour les internautes !

SECURITE : «MY PARTY», YOUR PROBLEM ;
UN VIRUS / VER MUTANT ?;
WASHTECH VICTIME DE VANDALISME ; ;
LA PLUPART DES ATTAQUES VIENNENT DES E.-U.

Nouvel épisode dans les infections informatiques virales, et le premier cas important de 2002, le
virus/ver «My Party» (W32.Myparty@mm) qui se propage par courriel. Variante par rapport aux
infections précédentes, le fichier joint contenant le virus/ver se camoufle sous les apparences d'une
adresse Web (URL) cliquable, et donc moins susceptible d'éveiller les soupgons. La stratégie
semble fonctionner si on consulte la vitesse de propagation établie par la société MessageLabs. Le
code se reproduit en cherchant toutes les adresses de courriel dans le répertoire d'adresses de
Windows et de Outlook Express et dans les diverses boites de courriel de Outlook. Charmante
attention, il envoie méme un accusé de réception a l'auteur du virus. Le champ objet contiendra les
mots «new photos from my party!» et proposera I'URL www.myparty.yahoo.com (ane cliquer en
aucun cas). Les divers fabricants de logiciels antivirus ont tot fait de proposer une parade, reste
aux utilisateurs a mettre leurs logiciels a jour.

Symantec : W32.Myparty@mm
http://securityresponse.symantec.com/avcenter/venc/data/w32.mypa mm.html
MessageLabs : W32.Myparty@mm

http:/Awww.messagelabs.com/viruseye/

UN VIRUS/VER MUTANT ?

Il semble toutefois qu'on soit aux prises avec un code malicieux mutant, c'est-a-dire dont certains
paramétres s'auto-modifieraient automatiquement. La société TrendMicro établit une distinction
entre deux versions du virus/ver MyParty. La premiére (Version «A»)
contenait un calendrier de déclenchement entre le 25 et le 29 janvier et la fausse adresse Web
était myparty.yahoo.com. On a cependant découvert une version
antérieure (Version «B») prévue pour se déclencher entre le 20
et le 24 janvier et dont la fausse adresse était

myparty.photos.yahoo.com. Verra-t-on une nouvelle version dont
les dates de déclenchement seront inscrites entre le 30 janvier et
le 2 février?

C'est ce que craignent certains observateurs qui se font des échanges sur

les forums de discussion spécialisés. Gj NS

12