R�sum�

Un nouveau virus appell� ``NewLove'' mutant de ``ILOVEYO'' est en train de se propager sur le r�seau. Comme ce dernier il est �crit en VBScript et se propage par e-mail, dont l'objet commence par ``FW'' et comportant une pi�ce jointe portant l'extension .vbs. Cette pi�ce jointe porte un nom al�atoire � chaque envoi.

Si l'utilisateur double-clique sur la pi�ce-jointe, le ver va s'excuter � l'aide de WSH.

Origine

  • Nous ne disposons pas encore des sources du ver.
  • Informations obtenues sur les groupes de news.
  • Informations donn�es par un de nos partenaire.
  • Lu sur les sites de NAI (Macfee) et Symantec (Norton).

Risque

  • Le risque est �lev� si les utisateurs ne sont pas sensibilis�s.
  • Ecrasement des fichiers non utilis�s.
  • Mode de propagation par messagerie.
  • Le virus n�cessite une m�moire importante ce qui ralentie sa propagation.

Principe

4.1 Propagation

Quand le ver est lanc�, il se recopie dans le dossier Windows en prenant un nom de l'un des documents r�cemment ouvert, avec une extension prise alatoirement dans la liste : Doc, Xls, Mdb, Bmp, Mp3, Txt, Jpg, Gif, Mov, Url, Htm, Txt et en y ajoutant l'extension .vbs.

Il s'auto-modifie en ajoutant des commentaires alatoires � son code apr�s chaque infection afin de troubler sa d�tection.

Ensuite, le programme cherche � se propager en exploitant le carnet d'adresses d'Outlook de la victime (de la m�me fa�on qu'ILOVEYOU).

4.2 Syst�mes impact�s

Comme pour ILOVEYOU tous les syst�mes Windows sont concern�s.

Fichiers infect�s

  1. Il modifie les entr�es suivantes dans la base de registres:
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\
  2. NEWLOVE s'attaque � tous les fichiers qui ne sont pas en cours d'utilisation, en les rempla�ant par lui m�me.