Rapport hebdomadaire Panda Software sur les virus et les intrusions

Par Panda Software le Lundi 11 Avril 2005

Dans notre rapport de cette semaine, nous analyserons des variantes du ver Mytob, une nouvelle variante d'un malware affectant les téléphones cellulaires et un nouveau type de fraude en ligne.

Les nouvelles variants de Mytob sont les S, U, V et W, et elles possèdent toutes des caractéristiques de cheval de Troie de type backdoor. Un des plus grands dangers de ce ver réside dans sa capacité à modifier les fichiers HOSTS du système. Il agit de la sorte afin d'empêcher les utilisateurs de se connecter aux pages web de certains éditeurs d'antivirus. De par cette modification, les utilisateurs infectés se retrouvent dans l'impossibilité de recevoir les mises à jour nécessaires pour éliminer ce code malicieux.

Ce ver se propage en exploitant la vulnérabilité LSASS, via les ressources réseau partagées et via email, en récupérant les adresses à partir de fichiers sur le système, tout en évitant certaines adresses, dont celles de Panda Software.

Les nouvelles technologies TruPreventTM incluses dans les solutions de Panda Software pour protéger contre les malwares inconnus détectent ces variantes de Mytob sans avoir besoin d'être mises à jour. Avec ces technologies, de nombreux codes malicieux sont bloqués avant qu'ils ne puissent infecter les ordinateurs sur lesquels sont installées les solutions Panda.

Cette semaine aura également vu l'apparition de Cabir.J, un ver affectant les téléphones portables fonctionnant sous la série 60 du système d'exploitation Symbian. Il se propage via Bluetooth et les messages MMS, et requiert que l'utilisateur réponde à un message d'alerte de sécurité pour pouvoir se propager.

Lorsqu'il est exécuté, Cabir.J recherche d'autres appareils à proximité connectés en Bluetooth. Dès qu'il en trouve un, il s'y transfert dans un fichier SIS.

Cabir.J utilise la procédure suivante pour se propager en utilisant les messages MMS :

- Il surveille les messages SMS et MMS reçus sur le téléphone

- Il répond automatiquement aux messages reçus avec un message MMS incluant une copie de lui-même dans un fichier nommé INFO.SIS

Pour prévenir toute infection de Cabir, il est recommandé de désactiver le service Bluetooth lorsqu'il n'est pas nécessaire et de ne rien installer sur le système à moins que vous l'ayez téléchargé et demandé spécifiquement.

En plus d'analyser des malwares, nous avons choisi dans ce rapport de passer en revue plusieurs sites web qui tentent d'attirer les utilisateurs en offrant des billets de vol extrêmement bon marché. En tout état de cause, le véritable but de ces sites n'est pas de vendre quoi que ce soit mais de faire en sorte que les utilisateurs saisissent les données de leurs cartes de crédit qui tomberont ensuite entre les mains de cyber-escrocs.

L'arnaque commence lorsqu'un utilisateur peu suspicieux recherche des offres de vols en utilisant un moteur de recherche tel que Google. Ceci l'amène vers un site Internet proposant des vols bon marché. Le site inclut un formulaire demandant à l'utilisateur de saisir ses données personnelles, dont son numéro de carte de crédit, la date d'expiration et le code de vérification (CVV). Une fois ces données saisies, pour prolonger l'illusion, une page d'erreur s'affiche, annonçant à l'utilisateur que la transaction ne s'est pas effectuée correctement et donnant des instructions sur la façon de payer le billet.

Jusqu'à maintenant, les sites web identifiés, qui par ailleurs ont été désactivés par les Autorités, offraient des billets d'avion, mais il y a fort à parier que d'autres sites proposeront toutes sortes "d'affaires" avec le même objectif.

Pour plus d'informations sur ces menaces et sur d'autres, consultez l'Encyclopédie des virus de Panda Software à l'adresse :
http://www.pandasoftware.com/virus_info/encyclopedia/

A propos du laboratoire de virus de Panda Software
Dès réception d'un fichier susceptible d'avoir été infecté, les équipes techniques de Panda Software se mettent au travail. Le fichier est analysé et selon sa nature, différentes actions peuvent être entreprises comme le désassemblage, l'analyse de macro, l'analyse des codes, etc. Si le fichier contient effectivement un nouveau virus, l'antidote est préparé et distribué aux utilisateurs dans les plus brefs délais.