Win32.Worm.IM.J - le ver qui fréquente les réseaux de messagerie instantanée

Le code malveillant ” Win32.Worm.IM.J ” se diffuse via des liens envoyés sous la forme de messages instantanés sur Yahoo! ® Messenger en se faisant passer pour des utilisateurs infectés. Le message a recours à des techniques d 'ingénierie sociale pour faire croire aux victimes qu 'elles se trouvent dans une situation extrêmement délicate et qu 'elles doivent agir immédiatement, notamment parce que le lien contenu dans le message se termine par leur nom d 'utilisateur Yahoo!    

Les messages infectés demandent à la victime si c 'est elle qui a mis en ligne certaines photos ou créé un profil sur un site compromettant. Un lien vers le site en question accompagne, bien sûr, le message.

Une fois que les utilisateurs ont cliqué sur ce lien fourni de façon aléatoire, ils sont redirigés vers une fausse page web contenant des publicités et un espace blanc dans lesquelles les photos en question devraient se trouver. Un message (qui ne s 'affiche pas sous le lien hypertexte mais sous la première série de publicités) recommande aux victimes d 'installer Adobe Shockwave Player pour pouvoir regarder les photos.

Une fois exécuté, le fichier téléchargé installe les quatre fichiers suivants, parmi lesquels se trouve le tristement célèbre ” Worm.Agent.AJ ” (les autres ne sont pas malveillants) :%SystemRoot%\system32\[chaîne aléatoire de 4 à 8 lettres].exe%SystemRoot%\system32\YahooAuth2.dll
%SystemRoot%\system32\libeay32.dll
%SystemRoot%\system32\ssleay32.dll
Afin de s 'exécuter à chaque démarrage du système, le ver ajoute au Registre Windows la clé suivante : ” HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = “Explorer.exe, C:\WINDOWS\system32\[chaîne aléatoire de 4 à 8 lettres].exe “. Il crée ensuite deux autres fichiers dans ” %SystemRoot%\ ” et ” %SystemRoot%\system32\”.

Le ver supprime de l 'ordinateur infecté le nom d 'utilisateur et le mot de passe stockés en local afin d 'obliger l 'utilisateur à les saisir de nouveau. Les informations de connexion sont stockées dans le Registre Windows sous la clé ” HKEY_LOCAL_MACHINE\SOFTWARE\first ” et leur utilisation permet une authentification furtive ainsi que l 'envoi de ces liens infectés à la liste de contacts de la victime.

Enfin, le ver contient un composant téléchargeur qui installe des malwares supplémentaires sur le système infecté.

Win32.Worm.IM.J a été créé avec Borland Delphi® et semble provenir de Roumanie puisque les messages qu 'il envoie sont rédigés en roumain : ” cine ti-a pus pozele aici? “(” qui a mis tes photos sur ce site ? “) et ” tu ti-ai facut profilu asta? ” (” est-ce toi qui as créé un profil sur ce site ? “).

Afin d 'éviter les infections, nous vous recommandons de télécharger, d 'installer et de mettre à jour régulièrement une suite antimalware complète avec des modules antivirus, antispam, antiphishing et un pare-feu.