Revue hebdomadaire sur les malwares : Win32.Worm.Rimecud.C menace les utilisateurs des réseaux P2P

Détecté pour la première fois ce mois-ci, Win32.Worm.Rimecud.C est un ver Internet qui tente de se propager activement, en infectant directement des supports amovibles, ou en diffusant son code binaire via Kazaa, DC++, LimeWire, eMule , iMesh ou BearShare.

Afin d’infecter les supports de stockage USB, Win32.Worm.Rimecud.C crée un dossier nommé USBSYSTEM, se copie à l’intérieur, puis crée à la racine du support un fichier « autorun.inf » qui exécute le fichier binaire à chaque fois que le support est connecté. Le ver se diffuse également via MSN Messenger en envoyant des messages automatiques contenant des liens vers des copies de lui-même à toute la liste de contacts.

Une fois la machine locale infectée, le ver crée une copie de lui-même dans le répertoire « %systemdrive%\RECYCLER\S-1-5-21-[10-chiffres-aléatoires]-[10-chiffres-aléatoires]-[4-chiffres - aléatoires] » et modifie les attributs du répertoire afin de le cacher à Windows Explorer. Le ver s’enregistre ensuite au démarrage du système en ajoutant une nouvelle entrée au Registre Windows sous le nom de « Taskman ».

L’un des premiers symptômes perceptibles de l’infection est le ralentissement inhabituel de l’ordinateur. Le ver utilise la plus grande partie de la bande passante disponible pour effectuer des tâches malveillantes telles que des attaques de déni de service (DoS) et de type TCP-SYN flood contre des hôtes distants.

Afin d’éviter les infections, nous vous recommandons d’installer et de mettre à jour régulièrement une suite antimalware complète avec des modules antivirus, antispam, antiphishing et un pare-feu.

Article réalisé grâce à l’aimable contribution de George Cabau, spécialiste BitDefender des virus informatiques.