Rapport hebdomadaire Panda Software sur les virus et les intrusions

Par Panda Software le Lundi 07 Mars 2005

Cette semaine, notre rapport sur les virus et les intrusions portera sur deux vers, Bagle.BN et Mytob.A, et deux chevaux de Troie, Mitglieder.BO et Tofger.AT.

Afin de contaminer le plus d'ordinateurs possible, le ver Bagle.BN et le cheval de Troie Mitglieder.BO travaillent main dans la main. Mitglieder.BO atteint les ordinateurs en tant que pièce jointe à un message email, nommée price.zip ou price2.zip, entre autres.

Si l'utilisateur exécute ce fichier, le cheval de Troie s'active et tente de se connecter à une adresse Internet, depuis laquelle il télécharge le ver Bagle.BN sur l'ordinateur. Lorsque Bagle.BN a été installé sur l'ordinateur, il envoie Mitglieder.BO aux addresses qu'il trouve dans un fichier nommé EML.EXE, qui est également téléchargé depuis Internet. Pour ce faire, le ver utilise son propre moteur SMTP.

Mitglieder.BO met fin aux processus appartenant à diverses applications antivirus et de sécurité, et écrase le fichier hosts de Windows afin d'empêcher les utilisateurs de se connecter à certaines pages web.

Bagle.BN ouvre le port TCP 80 et se met en attente de l'établissement d'une connexion distante. Lorsque celle-ci est établie, il permet l'accès distant à l'ordinateur infecté, autorisant ainsi des actions compromettant les informations confidentielles de l'utilisateur ou empêchant l'accomplissement de tâches.

Le second ver de notre rapport est Mytob.A, qui se propage via email dans un message aux caractéristiques variables et via Internet. Dans ce cas, il attaque des adresses IP aléatoires, sur lesquelles il tente d'exploiter la vulnérabilité LSASS.

Mytob se connecte à un serveur IRC et attend des commandes de contrôle distantes, qu'il exécutera sur l'ordinateur affecté. De plus, il supprime les variantes d'autres vers tels que Netsky, Sobig, Bagle et Blaster.

Le dernier code malicieux de ce rapport est le cheval de Troie Tofger.AT, qui est téléchargé sur le PC lorsque les utilisateurs se rendent sur certaines pages web, et qui utilise différentes exploitations comme par exemple LoadImage, ByteVerify et MhtRedir.gen, pour télécharger des malwares sur les ordinateurs. Ce cheval de Troie s'installe sous la forme d'un Browser Helper Object (BHO), de telle sorte qu'il est exécuté à chaque ouverture d'Internet Explorer.

Tofger.AT traque les actions menées par les utilisateurs et les mots de passe utilisés pour accéder à des pages web via des connexions HTTPS sécurisées, généralement utilisées pour se loguer à des systèmes sécurisés comme par exemple les services bancaires en ligne. De plus, à chaque fois qu'il détecte certains noms dans l'URL, il tente de capturer les mots de passe pour les banques suivantes : cajamadrid, bpinet, millenniumbcp, hsbc, barclays, lloydstsb, halifax, autorize, bankofamerica, bancodevalencia, cajamar, portal.ccm, bancaja, caixagalicia, caixapenedes, ebankinter, caixasabadell, bes, banif, millenniumbcp, totta, bancomais, montepiogeral, bpinet, patagon, lacaixa, citibank, bbvanet, banesto, e-trade et unicaja. Lorsqu'il a réussi à intercepter ces informations, Tofger.AT les envoie à un serveur.

Pour plus d'informations sur ces menaces et sur d'autres, consultez l'Encyclopédie des virus de Panda Software à l'adresse http://www.pandasoftware.com/virus_info/encyclopedia/

A propos du laboratoire de virus de Panda Software
Dès réception d'un fichier susceptible d'avoir été infecté, les équipes techniques de Panda Software se mettent au travail. Le fichier est analysé et selon sa nature, différentes actions peuvent être entreprises comme le désassemblage, l'analyse de macro, l'analyse des codes, etc. Si le fichier contient effectivement un nouveau virus, l'antidote est préparé et distribué aux utilisateurs dans les plus brefs délais.