Rapport hebdomadaire Panda Software sur les virus et les intrusions

Par Panda Software le Mardi 22 Février 2005

Cette semaine, notre rapport sur les virus et les intrusions passera en revue deux variantes de Mydoom, AO et AM, deux variantes de Gaobot, DAC et CYK, et Bropia.J.

Mydoom.AO, apparu en milieu de semaine, a une capacité à se propager bien plus rapidement et à plus grande échelle que la plupart des virus. Ceci est principalement lié au fait qu'il utilise Google, Altavista, Yahoo et Lycos pour chercher des adresses mail auxquelles il se transfert. Afin de tromper les utilisateurs, il envoie des emails qui se font passer pour des messages d'erreur de distribution.

Les messages transportant Mydoom.AO incluent une pièce jointe, qui contient le code du ver, avec une des extensions suivantes : ZIP, COM, SCR, EXE, PIF, BAT ou CMD. Si l'utilisateur exécute le fichier attaché, le ver crée plusieurs copies de lui même sur l'ordinateur affecté sous le nom JAVA.EXE, et cherche des adresses mail dans le carnet d'adresses Windows, dans les fichiers Internet temporaire et dans les fichiers portant certaines extensions. Puis il sélectionne les noms de domaine des adresses qu'il a collectées et les entre comme un terme de recherche dans Google, Altavista, Yahoo et Lycos. Ensuite, Mydoom.AO se transfert à toutes les adresses trouvées. Ce ver crée également plusieurs entrées dans le registre Windows afin de s'assurer qu'il sera exécuté à chaque démarrage de l'ordinateur.

La seconde variante de Mydoom de ce rapport est la variante AM, qui se propage dans des messages email aux caractéristiques variables et via les applications P2P de partage de fichiers KaZaA, Morpheus, eDonkey2000, iMesh et LimeWare.

Sur les ordinateurs qu'il infecte, Mydoom.AM met fin aux processus appartenant à certains outils de sécurité, tels que les programmes antivirus et les firewalls, laissant ainsi l'ordinateur affecté vulnérable face à d'autres attaques de malwares. Ce ver modifie également le fichier HOSTS, afin d'empêcher l'accès aux sites web de plusieurs sociétés éditrices d'antivirus et met fin aux processus appartenant à d'autres vers, tels que Netsky, Bagle, Sobig et Blaster.

Gaobot.DAC et Gaobot.CYX sont deux vers qui utilisent plusieurs moyens de propagation, dont les suivants :

Ils effectuent des copies d'eux-mêmes dans les ressources réseau partagées auxquelles ils réussissent à accéder.

Pour se propager via Internet, ils exploitent des failles de sécurité, telles que les vulnérabilités LSASS et RPC DCOM, pour lesquelles Microsoft a déjà sorti les correctifs permettant de les corriger.

Les variantes DAC et CYX de Gaobot intègrent des caractéristiques de backdoor qui permettent à des hackers de prendre le contrôle à distance de l'ordinateur affecté et de mener des actions telles que l'exécution de commandes, le téléchargement et l'exécution de fichiers, l'enregistrement de saisies clavier, le vol de diverses informations de l'ordinateur, le lancement d'attaques par déni de service distribuées, etc.

Nous terminerons ce rapport avec Bropia.J, un ver qui se propage via MSN Messenger. Lorsqu'il est exécuté, ce code malicieux tente d'afficher une page HTML qui contient un lien vers une certaine page web afin d'afficher une image. Par ailleurs, Bropia.J empêche l'utilisateur d'accéder aux Tâches planifiées et à l'éditeur du Registre Windows (le fichier REGEDIT.EXE).

Pour plus d'informations sur ces menaces et sur d'autres, consultez l'Encyclopédie des virus de Panda Software à l'adresse : http://www.pandasoftware.com/virus_info/encyclopedia/

A propos du laboratoire de virus de Panda Software
Dès réception d'un fichier susceptible d'avoir été infecté, les équipes techniques de Panda Software se mettent au travail. Le fichier est analysé et selon sa nature, différentes actions peuvent être entreprises comme le désassemblage, l'analyse de macro, l'analyse des codes, etc. Si le fichier contient effectivement un nouveau virus, l'antidote est préparé et distribué aux utilisateurs dans les plus brefs délais.