Risques
- Ecrasement des fichiers non utilis�s
- Le risque est �lev� si les utisateurs ne sont pas sensibilis�s
- Le virus n�cessite une m�moire importante ce qui ralentie sa propagation
- Mode de propagation par messagerie
Résumé
Un nouveau virus appell� ``NewLove'' mutant de ``ILOVEYO'' est en train de se propager sur le r�seau. Comme ce dernier il est �crit en VBScript et se propage par e-mail, dont l'objet commence par ``FW'' et comportant une pi�ce jointe portant l'extension .vbs. Cette pi�ce jointe porte un nom al�atoire � chaque envoi.
Si l'utilisateur double-clique sur la pi�ce-jointe, le ver va s'excuter � l'aide de WSH.
Origine
- Nous ne disposons pas encore des sources du ver.
- Informations obtenues sur les groupes de news.
- Informations donn�es par un de nos partenaire.
- Lu sur les sites de NAI (Macfee) et Symantec (Norton).
Principe
4.1 Propagation
Quand le ver est lanc�, il se recopie dans le dossier Windows en prenant un nom de l'un des documents r�cemment ouvert, avec une extension prise alatoirement dans la liste : Doc, Xls, Mdb, Bmp, Mp3, Txt, Jpg, Gif, Mov, Url, Htm, Txt et en y ajoutant l'extension .vbs.
Il s'auto-modifie en ajoutant des commentaires alatoires � son code apr�s chaque infection afin de troubler sa d�tection.
Ensuite, le programme cherche � se propager en exploitant le carnet d'adresses d'Outlook de la victime (de la m�me fa�on qu'ILOVEYOU).
4.2 Syst�mes impact�s
Comme pour ILOVEYOU tous les syst�mes Windows sont concern�s.
Fichiers infect�s
-
Il modifie les entr�es suivantes dans la base de registres:
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\
- NEWLOVE s'attaque � tous les fichiers qui ne sont pas en cours d'utilisation, en les rempla�ant par lui m�me.
