Un ver qui se prend pour le WGA

Le programme Windows Genuine Avantage que certains considèrent comme un Spyware, a donné des idées à des pirates. Ils ont conçu un ver qui se fait passer pour le très controversé programme de WGA.

Progation via AIM

Classé dans la catégorie des vers, ce virus baptisé W32.Cuebot-K par Sophos se propage via la messagerie instantanée d’AOL. Une fois qu’il est installé, le vers commence par désactiver le pare-feu et l’antivirus et tente immédiatement d’accéder à deux sites web pour télécharger d’autres programmes malicieux. Il scanne également les fichiers locaux, et peut lancer des attaques de type DDOS (distributed denial of service), explique Sophos.

Le WGA a mauvaise presse, les hackers en profitent.

Il se propage via la messagerie instantanée AIM en invitant tous les amis présents dans la liste de contacts d’un PC infecté à télécharger un exécutable nommé wgavn.exe. Après l’installation, le vers crée la clé "HKLM\SYSTEM\CurrentControlSet\Services\wgavn\" pour apparaître en tant que « Windows Genuine Advantage Validation Notification » dans la liste des services tournant sur l’ordinateur.

Il faut avouer que l’apparition de ce virus au moment même où le programme Windows Geniune Advantage est vivement critiqué à quelque chose d’ironique. Rappelons que le WGA, programme de lutte contre le piratage de Windows, a été considéré comme un spyware, car il se connectait quotidiennement aux serveurs de Microsoft sans avertir l’utilisateur. En réponse à ses accusateurs, la firme de Redmond a rectifié le tir et modifié le fonctionnement du WGA.

On ne rappellera jamais assez qu’il faut se méfier des exécutables envoyés par des amis, surtout quand ils ne sont pas accompagnés de messages, ou d’un message en langue étrangère.