Yamanner: le premier virus ciblant une plate-forme webmail

Yahoo Mail est la première messagerie en ligne victime d'un virus-ver, baptisé "Yamanner". Intégré directement dans le texte d'un e-mail, il s'active lors de sa lecture par l'utilisateur mais ne détruit aucune donnée.

Lundi 12 juin, est apparu le premier virus-ver ciblant le service Yahoo Mail et  baptisé "Yamanner" (JS/Yamanner@MM chez McAfee et JS_YAMANER.A chez Trend Micro).

Cette menace concerne tous les utilisateurs qui disposent d'une adresse en "yahoo.com" ou "yahoogroups", excepté ceux qui testent la dernière version bêta du service. Elle est opérante uniquement sur les systèmes Windows (2000, 95, 98, NT, Server 2003, XP).

Yamanner exploite une faille dans la gestion de code JavaScript qui n'avait pas été décelée dans la plate-forme de Yahoo. Il arrive très classiquement sous la forme d'un e-mail piégé dont l'objet est: «New Graphic Site», et le corps du message: «Forwarded message attached». En revanche, il n'est pas dissimulé dans une pièce jointe qu'il faut ouvrir pour activer le code malveillant.

Écrit en JavaScript, le virus est directement intégré au message en tant que composant HTML. Dès que l'utilisateur lira le message, il tentera de contaminer son système.

Yamanner va ensuite rechercher toutes les adresses mail en yahoo.com ou yahoogroups qu'il trouvera dans le carnet d'adresses, pour "s'autorenvoyer" vers ces correspondants. Il va également transférer cette liste de contacts à un serveur distant, vraisemblablement pour que son auteur puisse comptabiliser les tentatives d'infections. Le 12 au soir, elles avaient dépassé les 100.000.

Yahoo a corrigé la faille dans sa plate-forme

Heureusement il n'engage aucune action destructive, et n'efface ou n'altère aucune donnée sur le système. Pour cette raison, l'éditeur antivirus Symantec, premier à avoir rapporté son existence, lui attribue un niveau 2 de dangerosité sur son échelle de 5.

 

Source