Le ver Viro se transmet par mail

On se souvient en mai 2000, le ver « I Love You » se répandait sur internet en s’envoyant à tous le carnet d’adresse Outlook des victimes infectées.

En septembre 2018, le ver Viro se comporte de la même manière avec une fonctionnalité de rançongiciel (ransomware) en plus.

Voici un article sur le sujet de TrendMicro : https://blog.trendmicro.com/trendlabs-security-intelligence/virobot-ransomware-with-botnet-capability-breaks-through/

Ce ver utilise les objets COM de Windows pour faire des appels à Outlook en récupérant les contacts du répertoire par défaut (et oui, pas d’énumération… c’est un travail d’amateur* 😉). Une fois les contacts récupérés il s’envoie par mail.
En bonus (malus ?), il chiffre les fichiers, active un enregistreur de touches (keylogger) et établit un canal de communication avec les serveurs de contrôle (C&C / C²) de l’auteur.
La particularité de ce ver-rançongiciel est que les messages demandant la rançon sont… en français !

Il n’y a pas (à priori) d’exploitation de vulnérabilité pour infecter une cible, les recommandations sont donc les classiques : se méfier des pièces jointes reçues par mail, bien qu’ici, l’expéditeur soit quelqu’un de connu, ce qui complexifie le contrôle.
Je ne parlerai pas des mises à jour des antivirus (et des équipements de sécurité) qui sont censées être automatisées 😉.

  • pour information, Outlook fonctionne par répertoire et sous-répertoire. Par défaut, l’appel aux fonctions de récupération des comptes Outlook retourne le compte par défaut (Merci Cap’tain Obvious) mais parfois (souvent) il y’a plusieurs comptes Outlook et donc plusieurs répertoires.

Voici un bout de code en PowerShell permettant de lister tous ces répertoires :

ver-viro

A noter que l’accès aux contacts Outlook lève une alerte qui doit valider manuellement mais cela se contourne facilement avec un « Start-Job » cherchant la fenêtre et cliquant dessus ou en changeant les règles de sécurité d’Outlook ou par bien d’autres moyens 😉.

ver-viro-outlook