Découvert le 5 décembre 2005, le ver (worm) Myspace se répand sur la messagerie instantanée d’AOL AIM, invite l’internaute à cliquer sur un lien de téléchargement malveillant et répond à ses éventuelles questions.
La diffusion du ver IM.Myspace04.AIM et l’infection
Une fois la victime infectée, le ver invite ses contacts connectés à AIM à cliquer sur un lien de téléchargement malveillant.
Si le destinataire est prudent et demande des explications sur le lien, le ver répond
lol no its not its a vi rus
lol thats cool
pour mettre la cible en confiance. Les messages envoyés n’apparaissent pas à l’écran, la victime ne peut donc pas voir qu’elle est en train d’infecter ses contacts. Ainsi Myspace donne l’illusion à la cible d’être une personne de confiance.
Une fois que l’internaute a cliqué sur le lien de téléchargement malveillant (un fichier exécutable en « .pif »), une copie du ver se télécharge et s’exécute sur son ordi : il désactive des applications de protection, installe une backdoor et cherche à infecter ses contacts. La nouvelle victime va devenir à son tour un diffuseur du ver sur la messagerie instantanée.
Le ver (worm) ne fait pas de dégât sur l’ordi infecté, dans le sens où il n’endommage aucun fichier, mais la backdoor peut être très génante plus tard : prise de contrôle, relai de spam, relai de DOS, … ?
Autre variante IM.Myspace11.AIM
Découvert le 7 décembre, il a les mêmes caractéristiques principales que le précédent, seuls les messages changent
« look at my new picture » ou « why are you trying to send me a file? »
et le fichier téléchargé est en « .com ».
Comment éviter l’infection ?
- mettre à jour fréquemment les signatures virales de son antivirus
- utiliser le filtrage de contenu de la messagerie instantanée d’AOL
- connaître les risques du social engineering ou comment un pirate peut inspirer confiance ?