Alerte au Virus W32/Naked alias "NakedWife"

W32/Naked – alias « NakedWife » - est un ver écrit en Visual Basic 6 qui utilise la messagerie électronique pour rapidement se diffuser dans le monde. Comme l’explique José María Hernández, responsable de l'expansion internationale de Panda Software : « Nous recevons actuellement plusieurs rapports d'infection, ce qui indique que le risque de diffusion du ver est toujours très élevé. C’est pourquoi », poursuit-il, « nous invitons vivement nos clients à mettre immédiatement à jour leurs solutions antivirus. »

Fidèle à sa politique d’assurer la protection la plus efficace qui soit contre toute menace de virus, l’entreprise offre à tous les utilisateurs qui n'ont pas Panda Antivirus installé sur leur machine de désinfecter leurs ordinateurs au moyen de Panda ActiveScan, une solution antivirus gratuite disponible sur le site Web Panda Software

Pour se diffuser W32/Naked utilise une tactique de plus en plus connue maintenant, à savoir un déguisement, ici sous la forme d’un fichier attaché (NakedWife.exe) dont le nom suggère l'image d'une femme nue. Le ver essaye de se faire passer pour un film Macromedia Flash. En fait, lorsque le fichier qui contient le ver est exécuté, une fenêtre qui semble charger un film Flash s’ouvre. Cette fenêtre a pour but de détourner l'attention des utilisateurs pendant que le ver effectue les actions suivantes :

Il s'auto-envoie à tous les utilisateurs inscrits dans le carnet d'adresses d’Outlook.

Ces messages auront le format suivant :

Objet : « FW: Naked Wife »

Corps du message : « My wife never look like that! ;-) Best Regards, »

(Mon épouse n’a jamais l’air de ça ! ;-) Cordialement,)

Fichier attaché : NakedWife.exe

2. Il supprime certains fichiers des dossiers Windows et WindowsSystem. Les fichiers affectés auront les extensions suivantes : EXE, COM, LOG, BMP, DLL et INI.

Pendant qu'il effectue ces actions, le ver ouvre un menu où Aide - > About Macromedia Flash Player est la seule option activée. Quand cette option est sélectionnée, le message suivant s’affiche : « You’ve now FUCKED! © 2001 by BGK (Bill Gates Killer) »

(Vous venez de vous FAIRE AVOIR! (c) 2001 par BGK).

W32/Naked doit ensuite s’autocopier dans le dossier temporaire de Windows pour s'auto-envoyer. Pour ce faire, le nom du fichier exécuté doit être NAKEDWIFE.EXE. Sinon le ver ne se copie pas dans le dossier temporaire. Si c’est le cas, le ver pourra néanmoins toujours envoyer des messages électroniques, mais ces derniers n'incluront pas de pièce jointe

Le code du virus contient un texte Unicode qui semble indiquer un chemin d’accès vers l'ordinateur où le ver a été créé, ainsi que le nom d'une compagnie d'assurance brésilienne (le nom de cette compagnie est omis pour des raisons de sécurité). Ce chemin est le suivant : C:Documents et SettingsmhsantosDesktopTempProjTempProjTemp.vbp. Ce chemin contient une chaîne qui pourrait fort bien être le dossier personnel du créateur du virus : « mhsantos ».

Ces deux pistes, le chemin d’accès et le nom de la compagnie d'assurance, semblent indiquer la naïveté du programmeur. Cependant, l’erreur est si évidente que cela pourrait n’être qu’une ruse pour que toute l'attention reste fixée sur d'autres personnes.