Rapport hebdomadaire Panda Software sur les virus et les intrusions

Par Panda Software le Lundi 28 Février 2005

Dans notre rapport de cette semaine, nous analyserons quatre vers : les variantes A et B de Stang, Assiral.A et Sober.M.

Stang.A et Stang.B se propagent via MSN Messenger dans des messages contenant des textes du type "Look At This Hot Naked Girl" ("Regarde Cette Fille Exitante et Nue") et un fichier attaché portant un nom tel que "Hey look at my moms dildo!!.pif". Si ce fichier est exécuté, ces vers se transfèrent à tous les contacts de l'application de messagerie instantanée et arrêtent les programmes de sécurité pouvant être installés sur l'ordinateur, tel que le firewall personnel de Windows.

De plus, Stang.A et Stang.B bloquent le Gestionnaire de tâches et l'Editeur du Registre du système d'exploitation. Ils essaient également de mettre fin aux processus SVCHOST.EXE et LSASS.EXE, ce qui peut provoquer l'arrêt automatique de l'ordinateur.

Le troisième ver que nous passerons en revue dans ce rapport est Assiral.A, qui se propage via email dans un message ayant pour objet "Re: LOV YA !" et contenant une pièce jointe nommée "LOVE_LETTER.TXT.EXE". Lorsque ce fichier est exécuté, l'ordinateur est infecté par Assiral.A, qui cherche alors des adresses email auxquelles se transférer.

Assiral.A mène diverses actions sur l'ordinateur qu'il infecte, parmi lesquelles :

- Empêche l'accès à l'Editeur du Registre.
- Cache l'option Exécuter du menu Démarrer.
- Désactive l'Invite de commandes.
- Modifie la page de démarrage dans Internet Explorer.
- Essaie de mettre fin aux processus appartenant à différentes applications antivirus et firewall.
- Lorsqu'il est exécuté, il affiche à l'écran un message qui annonce sa mission d'éradiquer d'Internet les actions des vers Bropia.

Nous terminerons notre rapport avec Sober.M, un ver qui se propage email dans un message pouvant être rédigé en anglais ou en allemand. Si le nom de domaine de l'adresse mail se termine par de, ch, at ou li, l'objet ainsi que le corps du message sont rédigés en allemand.

Après avoir infecté un ordinateur, Sober.M ouvre le Bloc-notes et affiche un texte puis ensuite un message d'erreur.

Pour plus d'informations sur ces menaces et sur d'autres, consultez l'Encyclopédie des virus de Panda Software à l'adresse http://www.pandasoftware.com/virus_info/encyclopedia/

A propos du laboratoire de virus de Panda Software
Dès réception d'un fichier susceptible d'avoir été infecté, les équipes techniques de Panda Software se mettent au travail. Le fichier est analysé et selon sa nature, différentes actions peuvent être entreprises comme le désassemblage, l'analyse de macro, l'analyse des codes, etc. Si le fichier contient effectivement un nouveau virus, l'antidote est préparé et distribué aux utilisateurs dans les plus brefs délais.