Le tout nouveau W32/Gibe-F a été détecté hier par les éditeurs antivirus. Le risque de propagation est classé moyen, mais le nombre d'ordinateurs infecté est déjà grand puisque l'on peut suivre en direct l'évolution des infections sur une page web.

Source:echu.org

W32/Gibe-F (ou W32/Swen@MM) est un ver qui se propage en s'envoyant par e-mail via son propre moteur SMTP, en se copiant dans le dossier partagé du logiciel peer-to-peer KaZaA et via les canaux IRC.

Le ver se copie dans le dossier Windows sous la forme d'un fichier exécutable au nom aléatoire en minuscules (par exemple, jlfsm.exe), et dans le dossier partagé KaZaA en prenant plusieurs noms de fichiers (par exemple, "WINZIP UPLOAD.EXE"). Il ajoute également plusieurs clefs à la base de registre et tente de désactiver les divers systémes antiviraux présents sur la machine infectée.

Mais W32/Gibe-F est différents de tous les précédents vers. Joe Stewart de Lurhq.com a fait une découverte trés intéressante à propos de ce ver : lorsqu'il infecte une nouvelle machine, il incrémente un compteur Web! Celui-ci est visible à l'adresse :
http://ww2.fce.vutbr.cz/bin/counter.gif/link=bacillus&width=6&set=cnt006

Les logs du serveur pour ce compteur pourraient être trés utiles aux chercheurs spécialisés dans les virus. Les entrées devraient fournir des données pour une étude statistique sur les transmissions de vers. En espérant bien sûr que le site Internet Vutbr.cz veuille bien rendre ces informations publiques.