" Welchia", un " bon" virus qui efface le " mauvais" " Lovsan"
LEMONDE.FR | 19.08.03 | 20h25 • MIS A JOUR LE 19.08.03 | 20h29
Un nouveau virus informatique, baptisé " Welchia" et exploitant la même faille de sécurité de Windows que le virus " Lovsan" - ou " Blaster" - apparu il y a huit jours, a été signalé mardi 19 août par les éditeurs de logiciels de sécurité, qui indiquent qu´il tente d´éliminer " Lovsan" et de réparer Windows.
Selon l´éditeur F-Secure, qui a classé " Welchia" en niveau maximum de dangerosité, " car il se répand actuellement à la même vitesse que ´Lovsan´", le nouveau virus " active trois processus assez particuliers : il tue ( désactive) ´Lovsan´ dans sa version A. Les machines sont donc désinfectées. Ensuite, il installe les patches de sécurité relatifs à la faille RPC ( Remote procedure control, permettant notamment de partager des fichiers en réseau) exploitée par ´Lovsan´, et enfin il s´auto-détruit une fois ces actions achevées."
" Le virus a une action anti-virus", a indiqué Alexandre Durante, directeur général de F-Secure France. " Nous avons vu des choses similaires par le passé, mais de là à appliquer les patches de sécurité Microsoft, c´est une première, a-t-il ajouté. Malheureusement, a-t-il conclu, ce virus n´est pas parfait et risque d´engendrer d´autres problèmes pour les utilisateurs."
MISES EN GARDE
De son côté, l´éditeur américain Symantec a souligné que " la conséquence de la propagation de ce ver sur le réseau d´une entreprise sera une saturation de la bande passante, le ver recherchant constamment de nouvelles machines à infecter". Il ne faut donc pas se fier aux bonnes intentions apparentes de ce nouveau ver, prévient Jimmy Kuo, chercheur chez le fabricant d´antivirus Network Associates. " Quelles que soient ses intentions, il est préférable de ne pas laisser quelqu´un redémarrer votre machine alors que vous êtes en train de l´utiliser", explique-t-il.
Sur les versions en anglais, en coréen et en chinois de Windows, " Welchia" télécharge le patch qui répare l´ordinateur, mais n´exécute apparemment pas cette opération sur les autres versions, selon Joe Hartmann, directeur de recherche chez le fabricant japonais d´antivirus Trend Micro. Dans certaines circonstances, " Welchia" essaye de supprimer " Blaster" si l´ordinateur a été infecté par le virus. " Welchia" se propage ensuite dans d´autres ordinateurs qui présentent la même faille de sécurité, ajoute Jimmy Kuo.
" Welchia", qui est programmé pour s´auto-supprimer en 2004, se propage de manière significative en Asie, et particulièrement au Japon, selon Joe Hartmann. Le ver a ralenti les réseaux de nombreuses d´entreprises, parce qu´il génère du trafic supplémentaire dans sa quête d´ordinateurs vulnérables et parce qu´il ordonne à plusieurs machines de télécharger le patch simultanément. Network Associates a classifié le virus comme étant de dangerosité " moyenne".
Selon certaines sources, " Welchia" tenterait également d´attaquer les ordinateurs grâce à une faille de Windows différente de celle utilisée par " Blaster".
20 % DES ENTREPRISES TOUCHÉES PAR " BLASTER"
Le virus " Lovsan", alias " Blaster", avait attaqué la semaine dernière des centaines de milliers d´ordinateurs équipés des systèmes d´exploitation Windows 2000 ou XP de Microsoft, en provoquant des redémarrages à répétition de l´ordinateur infecté sans toutefois s´en prendre au disque dur.
Selon une étude portant sur 1 000 organisations réalisée par la firme de sécurité informatique TruSecure Corp, 20 % des entreprises mondiales ont été contaminées par " Blaster", la source d´infection principale étant les ordinateurs portables. Le coût moyen de nettoyage s´est élevé en moyenne à 6 500 dollars pour les infections modérées, et à 55 000 dollars pour les infections majeures, précise l´étude.
Les éditeurs de logiciels de sécurité dénoncent actuellement un regain d´activité des créateurs de virus, comme tous les ans au mois d´août. F-Secure avertit ainsi également mardi les utilisateurs d´ordinateurs de l´apparition de deux autres nouveaux vers ce jour : une nouvelle variante du virus Lovsan, baptisé " Lovsan.D", et le virus " Sobig.F".
Par ailleurs, les experts mettent en garde les internautes contre un e-mail mensonger, qui prétend contenir le patch conçu par Microsoft pour réparer la faille exploitée par " Blaster". En fait, ce courrier électronique contient une application de type " cheval de Troie", qui installe une porte dérobée permettant à un pirate de prendre le contrôle de l´ordinateur infecté. Microsoft précise qu´il ne distribue jamais de patch par e-mail.
source: lemonde
