Virus Mimail : l'arnaque continue.

Par Jerome Saiz, le 16 nov 2003 à 13:54:00.

Les versions de Mimail se suivent et ne se ressemblent pas. Après celle qui dérobe les mots de passe, puis celle chargée d'attaquer des sites anti-spam, Mimail essaie désormais de piéger les utilisateurs du service de paiement Paypal. L'arnaque n'est pas très originale, mais plutôt efficace.

Vol, spam : au fil de ses différentes versions, le virus Mimail apparaît comme le parfait petit laboratoire du cyber-escroc. Les derniers opus en date essayaient déjà de voler les mots de passe de leur victime ou encore de mettre à genoux des sites de lutte anti-spam. Aujourd'hui, la version H (ou I, selon les éditeurs d'antivirus) s'attaque aux utilisateurs du service de paiement Paypal et tente de dérober leur numéro de carte bancaire.
Mimail.H arrive dans un email rédigé en anglais, provenant d'une (fausse) adresse du site Paypal.com et intitulé "YOUR PAYPAL.COM ACCOUNT EXPIRES".
Le texte du courrier indique que le compte associé à l'adresse email de la victime sera désactivé d'ici cinq jours si cette dernière ne met pas à jour ses informations bancaires, tout en s'excusant bien sûr pour ce "désagrément".
L'idée est loin d'être originale : les pirates utilisent depuis longtemps la peur d'une interruption de service pour contraindre les utilisateurs naïfs à communiquer leurs informations confidentielles. Mais ce n'est pas là que Mimail.H se révèle malin, c'est dans sa pièce jointe.
Pour mettre son compte à jour, la victime est incitée à cliquer sur un lien appelé "www.paypal.com". Toutefois, il ne s'agit pas d'un lien mais d'un programme exécutable nommé "www.paypal.com.scr". L'utilisation de la double extension, cachée par défaut sous Windows, permet de maquiller le cheval de Troie : son nom apparaît comme un simple lien Internet. Et l'extension .scr (habituellement utilisée pour les économiseurs d'écran de Windows, mais pouvant être n'importe quel exécutable) permet de tromper un peu plus les internautes qui apercevraient le véritable nom du fichier. Et pour ceux qui auraient un doute malgré tout, le lien est présenté par le courrier comme une "application sécurisée". On apprécie l'ironie.
Une fois exécuté, le programme affiche une interface plutôt bien faite, qui présente à la victime un formulaire de mise à jour de ses informations bancaires. Tout y passe (voir ci-dessous), y compris le code de vérification inscrit au dos de la carte.


L'interface présentée à sa victime par le virus Mimail est très convaincante (source : McAfee)

Bien sûr, une fois validées, ces informations sont envoyées par email à l'une des quatre adresses de l'auteur du virus, qui peut alors les exploiter à sa guise. Mimail utilise pour cela sont propre serveur SMTP.
Pour ses propres besoins de propagation, Mimail capture aussi les adresses email trouvées sur le PC infecté et s'envoie sous la forme du même email que celui reçu initialement.
Enfin, pour les spécialistes, il est intéressant de noter que le processus du virus en mémoire se nomme "SVCHOST32.exe", de quoi être facilement confondu avec le SVCHOST.exe légitime de Windows. Là encore, Mimail tente de brouiller les pistes.

A voir aussi

• Le retour du virus maître chanteur (28 oct 2005)
• Le virus Homepage : le ridicule ne tue plus... (09 mai 2001)
• Les cartes Visa sous le feu des arnaqueurs. (27 déc 2003)
• Les virus 32 bits stars du moment. (23 juil 2001)
• Virus tueurs à Noël : l'alerte habituelle. (23 déc 2002)