Sunday 14 March 2010
Article  Cloud security assessment scheme launched

Sunday 14 March 2010
In Brief  Human element undermines encryption

Thursday 11 March 2010
Article  Digital privacy framework steps closer?

Monday 8 March 2010
Audio Podcast  Web 2.0 and Social Networks in the Enterprise

Sunday 7 March 2010
Article  Digital Economy Bill raises privacy concerns

Wednesday 3 March 2010
Article  Cloud security threats identified by CSA

Tuesday 2 March 2010
In Brief  Vote for your CSO Interchange topics

Thursday 25 February 2010
Article  Cloud Computing : a simple question of supplier risk

Monday 22 February 2010
Article  Most dangerous coding errors outed

Monday 22 February 2010
In Brief  Microsoft IE users to get browser choice update

Friday 19 February 2010
Article  Google Buzz fail highlights privacy expectation rise

Thursday 18 February 2010
In Brief  Annual hacking challenge aims for mobiles and browsers

Wednesday 17 February 2010
Audio Podcast  The Challenges of Cross Border eID

Monday 15 February 2010
Audio Podcast  The Readiness of eID in Europe Part 2

Sunday 14 February 2010
Audio Podcast  The Readiness of eID in Europe Part 1

Written by Jerome Saiz (SecurityVibes)
Published on Friday 19 September 2003
0 comment(s) | Subnetwork France

Microsoft a beau expliquer sans cesse qu'il ne distribue jamais de logiciels par courrier électronique, rien n'y fait : dès qu'un ver se fait passer pour l'éditeur de Windows, il se trouve toujours quelques centaines de milliers de naïfs pour installer le prétendu "correctif" qui leur est providentiellement envoyé par email.Depuis vingt-quatre heures, le ver Swen utilise cette technique pour se propager, et ca marche : il aura déjà infecté 1,2 millions de PC selon l'éditeur d'antivirus F-Secure. A tel point que Microsoft a publié un démenti officiel, rappelant, si c'était encore nécessaire, qu'il n'envoie jamais rien par email.Mais le succès de Swen tient aussi à une foule d'autres détails qui contribuent à en faire un ver redoutable de crédibilité. Arrivant par un email signé Microsoft, le ver présente une page HTML très convaincante, aux couleurs de l'éditeur. Si le PC de sa victime est équipé du couple Outlook Express / Internet Explorer dans des versions vulnérables (Outlook 2000 pré-SR1, Outlook Express et Oulook 98 notamment), sa pièce jointe peut s'exécuter automatiquement une fois le mail affiché (tous les courriers n'utilisent pas ce piège). Sinon, il faut cliquer dessus. Swen infecte ainsi deux populations : les internautes naïfs qui auraient la chance d'avoir une version récente d'Outlook (ils cliqueront sur la pièce jointe de toute façon) et ceux plus avertis, qui n'auraient jamais exécuté le programme, mais dont Outlook est vulnérable : l'exécution sera alors automatique.Une interface très soignéeLe ver affiche alors une série de boîtes de dialogue très convaincantes, qui vont guider la victime à travers l'installation (factice) du soi-disant correctif. En fait, c'est bien sûr le ver qui est installé, et ce même si l'utilisateur clique sur "Non" lorsqu'il lui est demandé s'il veut poursuivre l'installation.Une fois installé, le ver configure son propre serveur SMTP pour envoyer ses emails. Il utilise pour cela la configuration de sa victime, qu'il trouve dans la base de registre de Windows. S'il ne parvient pas à trouver les informations nécessaires, il affichera une nouvelle boîte de dialogue, elle aussi très réaliste, qui les demandera à l'utilisateur en prétextant une erreur MAPI. Swen pourra alors s'envoyer à toutes les adresses email trouvées dans le carnet d'adresses, mais aussi celles qu'il pourra lire sur les pages HTML visitées par l'utilisateur, ainsi que sur des newgroups, auxquels ils se connecte seul !Le ver est aussi capable d'infecter les disques partagés qu'il trouve sur le réseau local. S'il détecte en outre que sa victime utilise IRC pour dialoguer, il s'enverra automatiquement à chacun de ses correspondants, en se faisant passer pour le logiciel de compression Winzip.De même, si Swen voit que sa victime utilise Kazaa, il fabriquera de faux logiciels, jeux ou vidéos pornographiques (mais vraiment infectés !) qu'il ira déposer dans le répertoire d'échange de Kazaa.Enfin, pour se protéger, le ver neutralise plusieurs antivirus s'il les découvre sur le PC.Swen fait ainsi feu de tout bois pour se propager et il exploite plutôt bien la confiance des Internautes. C'est un vrai ver "d'ingénierie sociale", comme disent les pirates : il manipule les gens plutôt que les systèmes. Sa réalisation est très convaincante, et il représente un vrai piège pour les Internautes même dégourdis, puisqu'il peut s'exécuter automatiquement. Seule parade : mettre vos antivirus et votre Outlook à jour, ou changer de client email.

• La description du virus chez F-Secure, avec des captures d'écran.
• La page d'information sur Swen chez Microsoft.