Sous les aspects d'une missive semblant avoir été émise par la firme de Redmond via l'adresse admin@microsoft.com, un courriel non sollicité convie des utilisateurs à télécharger après clic sur une image plus vraie que nature, une version bêta 2 d' Internet Explorer 7 qui se révèle être en réalité un fichier dénommé ie7.0.exe infecté par un ver informatique.

Situation pour le moins ubuesque d'autant que le navigateur Web de Microsoft est disponible depuis le mois d'octobre 2006 dans une version finale (avril 2006 pour la version bêta 2). Et pourtant, cette ruse grossière de flibustier de l'informatique remporte un certain succès comme l'indique Sophos et c'est ainsi que le ver identifié sous le nom de Grum-A se propage rapidement.


La simple mention Microsoft n'est pas gage de sécurité
Selon Graham Cluley, consultant pour Sophos : " Ce type de ver ne réussit à se propager que parce trop de personnes n'ont pas encore appris à se méfier des e-mails non sollicités, même s'ils semblent provenir d'entreprises renommées comme Microsoft. Dans ce cas, le problème est que pour un observateur inattentif le mail paraît authentique, avec une image presque identique à celle que Microsoft utilise sur son site pour promouvoir Internet Explorer 7.0. Cliquer sur l'image ne permet cependant pas de télécharger une version bêta de IE7 mais du code malicieux. "

Quant à Grum, Sophos précise qu'il infecte les fichiers exécutables référencés par les clés Run de la base de registres Windows. Une fois activé, il se recopie vers winlogon.exe et effectue des changements dans le registre. Il édite également le fichier HOSTS, injectant une instruction dans system.dll et tente de modifier les fichiers système ntdll.dll et kernel32.dll.