(Type a title for your page here)

Message du CERT-Renater (certsvp@renater.fr)Bonjour,
Swen.A (ou W32/Gibe-F) est un ver Internet qui se propage par le biais:
- de la messagerie electronique,
- du partage de fichiers sur les reseaux Peer to Peer Kazaa,
- l'envoi de fichiers infectes aux utilisateurs connectés aux mêmes canaux IRC que la victime,
- des partages réseaux reconnus par la machine infectée (lecteurs reseaux connectés)
- de forums de discussion (newsgroups) prédéfinis.
Il tente aussi de désactiver et d'empêcher l'exécution d'un certainnombre d'outils de sécurité et de logiciels anti-virus.
Les systemes vulnérables sont les systemes Windows 95, 98, NT, Me, 2000,XP et 2003 server.
Swen dispose de son propre moteur SMTP qui lui permet d'envoyer directementses messages, contournant ainsi les éventuels mécanismes de sécuritémis en place sur le serveur de messagerie officiel de l'utilisateur.Pour trouver des correspondants, il collecte des adresses dans des fichiersprésents sur le disque de sa victime (fichiers HTML, ASP, .eml, .mbx, .dbx,par exemple susceptibles de contenir des adresses électroniques decorrespondants potentiels).
Le format du message qu'il envoie varie. Les champs Expediteur, et Sujet ainsique le corps du message sont souvent génerés aleatoirement a partir de certains élements codés en dur dans le ver. (De plus amples details sur la constructiondu message reçu sont disponibles sur les pages de référence indiquées à la finde cet avis). Le nom de la pièce jointe est construit a partir de nombres générés aléatoirement et des chaînes de caractères suivantes:
upgrade
update
patch
q
install
installer
installation
Parmi les divers types de messages envoyes on distingue cependant deux categories de messages capturés un peu plus reconnaissables:
- Dans certains cas le message pretend etre en provenance de Microsoft et contenir en attachement un correctif cumulatif eliminant tous les trous de securite connus sur Internet Explorer, Outlook et Outlook Express. Citation de Microsoft: "Sachez que Microsoft ne distribue jamais de logiciels en piece(s) jointe(s) par courrier electronique"
- Dans d'autres cas, le ver se dissimule dans un faux message de notification d'erreur de transmission de courrier électronique. Le texte pourrait alors etre: "I'm sorry I wasn't able to deliver your message to one or more destinations." Et le message contient un document joint contenant le ver (le nom du document etant aleatoire et l'extension du nom de fichier prise dans exe, pif, scr, bat ou com).
Le ver tente d'exploiter une vieille vulnérabilite d'Internet Exploreret Outlook Express (vulnerabilite IFRAME) pour s'exécuter automatiquementlors de la simple consultation du message reçu (sans ouverture du documentjoint). Le correctif figure dans l'avis suivant:
"Patch de securite contre la vulnerabilité "Incorrect MIME Header Can CauseIE to Execute E-mail Attachment" (ms01-020)":http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-020.asp
(faîtes un copier-coller de l'URL dans la fenêtre adresse de votre navigateur)
Le ver depose plusieurs fichiers sur le disque, dont:Germs0.dbv et Swen1.dat dans le repertoire d'installation du systeme Windows(C:\Windows ou C:\Winnt par exemple).
Le ver modifie aussi la base des clés de registres pour s'exécuter à chaqueredémarrage du systeme, s'exécuter à la place de certains types de fichiers,empêcher l'utilisation de l'outil regedit (editeur de la base de registre),stocker un certain nombre d'informations, activer le partage de fichierspour Kazaa.
Il est avéré que ce ver a déjà commencé a se propager en France.Mettez a jour systemes et bases de signatures anti-virales.
Références:
Pour une analyse detaille des caracteristiques de ce ver, plus de details sur les differents modes de propagation de ce ver, consulter le site de votre editeur d'antivirus ou:
"W32/Gibe-F" : http://www.sophos.fr/virusinfo/analyses/w32gibef.html
W32.Swen.A@mm : http://securityresponse.symantec.com/avcenter/venc/data/w32.swen.a@mm.html
"F-Secure Virus Descriptions : Swen" : http://www.f-secure.com/v-descs/swen.shtml
"Alerte securite : méfiez-vous du nouveau virus Swen (W32/Swen@MM)!"http://www.microsoft.com/france/technet/themes/secur/info/info.asp?mar=/france/technet/themes/secur/info/20030919-swen.html&xmlpath=/france/technet/Themes/secur/actu.xml&rang=0
Pour en savoir plus sur la politique de Microsoft en matiere de distribution de logiciels: http://www.microsoft.com/france/securite/protection/politique_emails.asp
Correctifs cumulatif pour Internet Explorer: http://www.microsoft.com/france/securite/bulletins_securite/ms03-032.asp
Cordialement,