Le ver qui se faisait passer pour le programme WGA

La polémique autour du programme de vérification de licence Windows Genuine Advantage (WGA), au sujet duquel Microsoft vient d'être poursuivi alors même qu'il faisait machine arrière sur les points les plus contestables, ne pouvait manquer d'inspirer les pirates. L'un d'entre eux a fini par accoucher de Cuebot-K, un ver découvert par des chercheurs de Sophos, qui une fois entré dans votre machine, se fait passer pour le système de notifications du programme WGA.

Une fois entré dans votre système, Cuebot-K commence par désactiver pare-feu et antivirus, télécharge du code malveillant depuis deux sites Web, scanne vos fichiers locaux et lance une invite de commande MS-DOS. Il se propage via AIM, la messagerie instantanée d'AOL, et se présente comme un exécutable baptisé « wgavn.exe ». Installé, il apparait dans le gestionnaire des taches de Windows comme le processus « Windows Genuine Advantage Validation Notification », indique Sophos, après avoir créé une entrée dans la base de registre dotée du chemin suivant : HKLM\SYSTEM\CurrentControlSet\Services\wgavn\.

Le comique de la situation réside dans le fait que certains assimilent le programme WGA à un spyware, dans la mesure où il se connecte à un serveur distant sans le consentement explicite de l'utilisateur. L'idée de victimes pestant contre Microsoft et son relativement inoffensif WGA doit beaucoup amuser le créateur de Cuebot-K. Pour éviter qu'il ne rie à vos dépens, rappelez vous d'être particulièrement méfiants lorsqu'un contact vous envoie un exécutable !