À l'image du loup déguisé en Mère-Grand, certains virus prennent l'apparence des programmes les plus anodins pour mieux duper le Petit Chaperon Rouge que nous sommes tous parfois. Camouflé en jeu de tir décalé, Bibrog n'est ainsi pas si inoffensif que cela…
En ces temps de " Star Academite " galopante, où chacun se rêve superstar, il est bon de prendre parfois les choses au premier degré. C'est sans doute ce que se sont dit les concepteurs de W32/Bibrog-B (alias W32/BIBROG.C@MM ou encore I-Worm.Academia), un ver circulant par e-mail et sur certains réseaux peer-to-peer découvert en mars 2003.
Bibrog-B se propage principalement au travers d'un message électronique dont l'objet est Fwd:La Academia Azteca. Dans le corps du message, la sempiternelle phrase censée rassurer le destinataire : La cacademia azteca (muy bueno) no es virus! (soit, à peu près, La cacadémie aztèque (très bien) n'est pas un virus !). Enfin, en pièce jointe, un fichier nommé academia.exe.
Un ver actif, mais peu discret
Lorsque ce fichier est lancé pour la première fois, il exécute un jeu de tir dont la cible est… un apprenti-chanteur d'une version hispanique de notre Star Ac' hexagonale.
Dans le même temps, il se duplique dans plusieurs répertoires de l'ordinateur, sous différents noms : manzana.exe dans le répertoire d'installation de Windows, academia.exe dans le sous-répertoire System du répertoire précédent, itch.exe et itcj.exe dans le répertoire du Menu Démarrer. Enfin, Bibrog-B copie sur le disque dur deux fichiers image, osiris.bmp et quiettime.bmp, utilisés comme papier peint du Bureau à l'ouverture de Windows. Dès lors, pas besoin d'être grand clerc pour s'apercevoir que l'on a sans doute contracté un mauvais virus…
À chaque démarrage du système d'exploitation, Bibrog-B s'active et se propage vers les contacts enregistrés dans le carnet d'adresses Outlook de sa victime. Si ces applications sont installées sur l'ordinateur, il tente également de se dupliquer dans les dossiers partagés des logiciels p2p KaZaA, Grokster et Morpheus, ainsi que dans celui de la messagerie instantanée ICQ.
Gare aux données sensibles
Mais la principale menace que représente Bibrog-B est celle d'une extorsion de données personnelles par une technique de phishing. Le ver enregistre en effet cinq fausses pages Web dans le répertoire Mes Documents : acafug.htm, citibank.htm, hotmail.htm, msn.htm et yahoo.htm. Lorsque la victime utilise Internet Explorer pour se connecter aux sites Citibank, Hotmail, MSN ou Yahoo!, le navigateur le renvoie non pas vers le site légitime, mais vers la page-leurre correspondante. La saisie de l'adresse http://hotmail.passport.com dans la barre d'adresses d'Internet Explorer aboutit ainsi à la page hotmail.htm du répertoire Mes Documents.
Comme ces pages-leurres sont semblables en tous points aux pages d'origine, l'utilisateur y saisit sans méfiance ses identfifiants de connexion, qui sont alors transmis instantanément aux pirates. Libre à eux d'usurper l'identité de leur malheureuse victime pour accéder à son compte bancaire ou à sa messagerie Web…
