Pour les logiciels de messagerie instantanée, la rançon de la gloire prend souvent la forme d'attaques en tous genres, notamment par déni de service (contre leurs infrastructures) ou par des virus (contre leurs utilisateurs). En 2003, Crock s'est ainsi propagé en capitalisant sur la notoriété croissante de Yahoo! Messenger.
C'est un fait, les auteurs de virus consacrent une part croissante de leur énergie et de leur créativité à s'attaquer aux réseaux de messageries instantanées, dont la popularité ne cesse de croître auprès d'un public rarement expert en sécurité informatique. Parmi les premiers virus à tirer parti de la naïveté des utilisateurs de Messengers en tous genres, W32/Crock (alias I-Worm.Win32.Danvee.11776, W32.Danvee@mm, Win32/Danvee.A@mm, I-Worm/Crock, I-Worm.Crock, Worm/Crock.2, W32/Crock-A ou encore Win32.Crock.A worm), apparu dans le courant de l'été 2003.
Rédigé en Microsoft Visual Basic et visant les ordinateurs équipés de Windows 95, 98, ME, NT, 2000 ou XP, ce ver se propage, comme souvent, au travers de messages électroniques accompagnés d'une pièce jointe infectée. Il suffit que le destinataire double-clique sur celle-ci, baptisée CROCK.EXE ou CROCK.SCR, pour que son ordinateur se trouve contaminé par l'asticot.
Une pièce jointe cherche à vous joindre
Une boîte de dialogue contenant une icone Yahoo! apparaît alors, invitant l'internaute àSe connecter à tout Yahoo! (dans la langue des Backstreet Boys, Connect to everything in Y!). Le ver demande à l'utilisateur d'entrer son nom d'utilisateur Yahoo! - en pré-remplissant ce champ avec le nom Windows de l'ordinateur - et bien sûr son mot de passe, avant de cliquer sur OK ou Cancel (Annuler).
Si la victime clique sur OK, le ver s'envoie par e-mail à tous les destinataires recensés dans son carnet d'adresses Microsoft Outlook. Ceux-ci reçoivent alors un message dont l'objet est Your free yahoo account and file! (soit, dans la langue de Patrick Coutin, Votre compte yahoo gratuit et le fichier), et dont le corps reprend l'identifiant Yahoo! et le mot de passe précédemment saisis par l'utilisateur.
Si ce dernier clique sur Cancel plutôt que sur OK, W32/Crock-A envoie tout de même un message à tous ses correspondants, mais avec un objet et un corps différents.
Ce qu'il fait à l'extérieur se voit aussi à l'intérieur…
En parallèle, W32/Crock-A se duplique dans le dossier de démarrage de l'ordinateur : il y crée deux fichiers baptisés CROCK.EXE et CROCK.BAT, ainsi qu'un fichier caché nommé CROCK.SCR. Le ver ajoute également une nouvelle entrée dans la base de registres, avec la valeur HKCU\Software\Microsoft\Windows\CurrentVersion\System Signature, afin de s'exécuter à chaque ouverture de session Windows de l'utilisateur. Notons que le virus est résident en mémoire, c'est-à-dire qu'il s'exécute au démarrage du système d'exploitation, mais de manière totalement invisible pour un utilisateur non averti et indépendante des programmes que celui-ci peut lancer.
Toutefois, si cette clé existe déjà dans la base de registres, le ver ne fait plus apparaître le faux message Yahoo! et n'envoie aucun message électronique additionnel : plutôt bien élevé, W32/Crock-A ne se transmet donc au final qu'une seule fois à chaque correspondant de sa victime.
Enfin, W32/Crock-A est également capable d'identifier et de stopper l'exécution d'un grand nombre de logiciels de sécurité, dont les antivirus AVP, Blackice, F-Protect ou encore Panda Antivirus, ainsi que des pare-feux personnels comme ZoneAlarm. De quoi rendre ses victimes vulnérables ultérieurement à d'autres parasites…
