Un nouveau virus, qui utilise la même faille de sécurité de Windows que le ver Blaster apparu la semaine dernière, se propage actuellement via internet mais répare la faille des systèmes dans lesquels il s'introduit au lieu de les endommager, ont déclaré des experts en sécurité informatique.

Baptisé "Welchia" ou "Nachi", ce nouveau virus de type ver ressemble beaucoup à Blaster, mais a été conçu pour détruire ce dernier. Quand il s'introduit dans un ordinateur, Welchia peut installer le patch destiné à éliminer la faille de sécurité de Windows grâce à laquelle Blaster se propage, et tenter de nettoyer l'ordinateur s'il a été contaminé.

Mais il ne faut pas se fier aux bonnes intentions apparentes de ce nouveau ver, prévient Jimmy Kuo, chercheur chez le fabricant d'antivirus Network Associates, pour qui propager un "bon" virus est en fait une très mauvaise idée. "Quelles que soient ses intentions, il est préférable de ne pas laisser quelqu'un redémarrer votre machine alors que vous êtes en train de l'utiliser", explique-t-il.

Blaster, également surnommé MSBlaster et LoveSan, a infecté plus de 570.000 ordinateurs équipés des systèmes d'exploitation Windows XP et Windows 2000 de Microsoft, selon le fabricant d'antivirus Symantec. Blaster exploite une faille de sécurité que les experts ont repéré vers la mi-juillet sur les version XP, 2000, NT et Server 2003 de Windows. Sur les versions en anglais, en coréen et en chinois de Windows, Welchia télécharge le patch qui répare l'ordinateur, mais n'exécute apparemment pas cette opération sur les autres versions, selon Joe Hartmann, directeur de recherche chez le fabricant japonais d'antivirus Trend Micro.

Dans certaines circonstances, Welchia essaye de supprimer Blaster si l'ordinateur a été infecté par le virus. Welchia se propage ensuite dans d'autres ordinateurs qui présentent la même faille de sécurité, ajoute Jimmy Kuo. "BON" VIRUS, MAUVAISE IDEE" Welchia, qui est programmé pour s'auto-supprimer en 2004, se propage de manière significative en Asie, et particulièrement au Japon, selon Joe Hartmann.

Le ver a ralenti les réseaux de nombreuses d'entreprises, parce qu'il génère du trafic supplémentaire dans sa quête d'ordinateurs vulnérables et parce qu'il ordonne à plusieurs machines de télécharger le patch simultanément. Network Associates a classifié le virus comme étant de dangerosité "moyenne". Selon certaines sources, Welchia tenterait également d'attaquer les ordinateurs grâce à une faille de Windows différente de celle utilisée par Blaster.

Par ailleurs, les experts mettent en garde les internautes contre un email mensonger, qui prétend contenir le patch conçu par Microsoft pour réparer la faille exploitée par Blaster. En fait, ce courrier électronique contient une application de type cheval de Troie, qui installe une porte dérobée permettant à un pirate de prendre le contrôle de l'ordinateur infecté. Microsoft précise qu'il ne distribue jamais de patch par email.

Le ver Blaster endommage les ordinateurs, se propage vers d'autres machines, et leur a donné l'ordre samedi d'attaquer un site de Microsoft, qui a contrecarré l'offensive en supprimant la page web visée. Selon une étude portant sur 1.000 organisations réalisée par la firme de sécurité informatique TruSecure Corp, 20% des entreprises mondiales ont été contaminées par Blaster, la source d'infection principale étant les ordinateurs portables. Le coût moyen de nettoyage s'est élevé en moyenne à 6.500 dollars pour les infections modérées, et à 55.000 dollars pour les infections majeures, précise l'étude.

Article Original : Reuters - San Francisco