Par Grégory Le Bras le Mardi 05 Avril 2005 à 23:01:29
Il se nomme Chod-B est a commencé à se propager via la messagerie électronique et MSN Messenger, le système de messagerie instantanée de Microsoft. Son but : désactiver les protections du système, le compromettre et voler des mots de passe.
Chod-B[1] est un ver qui possède la capacité de se propager de lui-même via MSN Messenger, et la messagerie électronique. Il possède des fonctionnalités de porte dérobée permettant à un attaquant distant de commander à distance (via un salon de discussion IRC) la machine compromise.
L'attaquant peut ainsi sur la machine infecter :
- Télécharger et exécuter des fichiers
- Installer ou désinstaller un IRCD
- Effectuer des attaques par DoS (Déni de services)
- Envoyer des e-mails
- Eteindre et redémarrer l'ordinateur
- Répandre le ver par e-mail et par MSN Messenger
Pour se propager, Chod-B tente de se faire passer pour un service de Symantec, Microsoft, ou Trend Micro comme expéditeur et informe le destinataire qu'il est probablement infecté :
"Warning - you have been infected!"
Il incite l'utilisateur à cliquer sur la pièce jointe en affirmant qu'il s'agit d'un outil de désinfection :
"netsky_removal.exe ou removal_tool.exe"
Chod-B tente également de se propager par MSN Messenger en invitant les contacts connectés de l'utilisateur, à télécharger le ver.
Celui-ci envoi ainsi aux contacts l'un des messages suivants :
- check out what I just found on some stupid website
- dude check this out, it's awesome! :D
- haha you have to see this, I almost couldn't believe it! :O
- holy shit you have to see this... :|
- I just found this on a CD... you won't believe it! :|
- LOL! look at this, I can't explain it it in words..
- naked lesbian twister
- omg check this out, it's just wrong :O
- ROFL!! you have to see this... wtf...
- you have to see this, it freaked me out :S
- you have to see this, it's amazing!
Pour terminer, Chod-B essaie de voler les mots de passe des applications suivantes :
AOL Instant Messenger (older versions)
AOL Instant Messenger/Netscape 7
GAIM
ICQ Lite 4.x/2003
Miranda
MSN Messenger
Trillian
Windows Messenger (on Windows XP)
Yahoo Messenger (Versions 5.x and 6.x)
Pour ce faire, il utilise l'un des outils suivants :
Intelligent TCPIP.SYS patcher
MessenPass
Protected Storage PassView
La section "commentaire" est un espace de discussion portant sur le thème de l'article, la rédaction de VirusTraQ se réserve donc le droit de supprimer tout message hors-sujet ou ne respectant pas nos règles d'utilisation, en particulier en cas de propos diffamatoires ou injurieux.